Microsoft выпустила предупреждение о критической уязвимости в собственной почтовой платформе. Проблема, обозначенная как CVE-2026-42897, затрагивает все поддерживаемые версии локального Exchange Server, включая Exchange 2016, 2019 и новейшую Subscription Edition. По данным вендора, уязвимость уже используется злоумышленниками в реальных атаках, что придаёт ситуации особую срочность. Под угрозой находятся любые организации, продолжающие эксплуатировать локальные почтовые серверы, - от небольших компаний до государственных учреждений.
Уязвимость CVE-2026-42897
Суть проблемы кроется в неправильной нейтрализации входных данных при генерации веб-страниц, более известной как межсайтовый скриптинг, или XSS (тип атаки, при котором вредоносный код внедряется в веб-страницу и выполняется в браузере жертвы). Конкретно уязвимость позволяет неавторизованному злоумышленнику отправлять пользователю специально сформированное письмо. Если получатель откроет такое сообщение в Outlook Web Access (OWA, веб-клиент Exchange) и выполнит определённые действия в браузере, произойдёт выполнение произвольного JavaScript-кода. Это открывает путь к подмене содержимого страницы, краже сессионных данных и, в конечном счёте, к компрометации почтового ящика.
В классификации CWE проблема носит номер CWE-79. По шкале CVSS версии 3.1 уязвимость получила оценку 8,1 из 10 - уровень HIGH (высокий). Вектор атаки - сетевой, сложность низкая, привилегии не требуются, но необходимо взаимодействие с пользователем. Потенциальный ущерб для конфиденциальности и целостности данных оценивается как высокий, однако доступность сервера не страдает. Microsoft подтвердила, что в природе уже существуют рабочие эксплойты, и компания классифицирует угрозу как активно эксплуатируемую.
Атака направлена именно на веб-интерфейс OWA, а не на протоколы MAPI или EWS. Это означает, что сотрудники, использующие Outlook в режиме веб-клиента, находятся в зоне риска. При этом Exchange Online (облачная версия) проблеме не подвержен. Уязвимы все накопительные обновления Exchange Server 2016 (CU23), Exchange Server 2019 (CU14 и CU15), а также первая версия Exchange Server Subscription Edition (RTM). Любая версия этих продуктов, независимо от уровня обновлений безопасности до 14 мая 2026 года, считается уязвимой.
Каковы возможные последствия для скомпрометированной организации? Прежде всего, злоумышленник, выполнив JavaScript в контексте сессии легального пользователя, может менять содержимое писем, перехватывать вложения, перенаправлять потоки сообщений или даже инициировать несанкционированные денежные переводы через встроенные корпоративные сервисы. Вдобавок атакующий способен получить полный доступ к календарю, контактам и задачам жертвы. Учитывая, что почтовые ящики часто содержат служебную переписку, пароли и ссылки на внутренние ресурсы, утечка данных может иметь серьёзные репутационные и финансовые последствия.
Microsoft не выпустила постоянного обновления безопасности одновременно с раскрытием уязвимости. Вместо этого компания использует механизм экстренного смягчения - службу Exchange Emergency Mitigation Service (EM-служба, служба оперативного реагирования Exchange). Эта служба, встроенная в Exchange начиная с кумулятивных обновлений сентября 2021 года, автоматически загружает и применяет временные меры защиты. По умолчанию EM-служба включена. Если она активна, сервер уже получил правило перезаписи URL (IIS URL Rewrite), которое блокирует вредоносные HTTP-запросы к OWA. Идентификатор применённого смягчения - M2.1.x. Администраторы могут проверить статус с помощью командлета Get-ExchangeServer или скрипта Exchange Health Checker.
Однако есть важные оговорки. Для корректной работы EM-службы требуется, чтобы сервер мог связываться с облачным сервисом Office Config Service через порт 443, а также имел доступ к спискам отзыва сертификатов. Если организация использует изолированные сети без выхода в интернет (air-gapped), автоматическое обновление смягчения невозможно. Для таких случаев Microsoft предоставила скрипт Exchange On-Premises Mitigation Tool (EOMT). Его можно скачать по ссылке и применить на каждом сервере отдельно или сразу на все серверы с ролью почтового ящика. Команда для одного сервера: .\EOMT.ps1 -CVE "CVE-2026-42897". Для всех серверов в организации: Get-ExchangeServer | Where-Object { $_.ServerRole -ne "Edge" } | .\EOMT.ps1 -CVE "CVE-2026-42897".
Применение временной меры, увы, не обходится без побочных эффектов. Microsoft предупредила о нескольких известных проблемах. Во-первых, функция печати календаря в OWA может перестать работать - рекомендуется копировать данные или использовать Outlook для Windows. Во-вторых, встроенные изображения в письмах могут не отображаться в области чтения OWA; в качестве обходного пути предлагается отправлять картинки в виде вложений. В-третьих, устаревший режим OWA Light (/layout=light) несовместим со смягчением, но этот режим давно не рекомендован к использованию. Наконец, в журналах может ошибочно выводиться сообщение о неприменимости смягчения к данной версии Exchange - это косметическая проблема, не влияющая на защиту.
Постоянное исправление уязвимости находится в разработке. Microsoft обещает выпустить обновление безопасности для Exchange Server Subscription Edition RTM, а также для Exchange 2016 CU23 и Exchange 2019 CU14/CU15. Однако доступ к этим обновлениям будет различаться. Владельцы Exchange 2016 и 2019, участвующие во втором периоде программы расширенных обновлений безопасности (ESU Period 2), получат патч. Тем, кто не продлил подписку или находится в первом периоде (закончился в апреле 2026 года), придётся либо мигрировать на новую версию, либо переходить на облачный Exchange Online. Для Exchange SE обновление выйдет в открытый доступ.
Самый быстрый и надёжный способ защитить инфраструктуру прямо сейчас - убедиться, что EM-служба активна на всех серверах. Если она отключена, её можно включить через реестр или PowerShell, а также вручную применить скрипт EOMT. Организациям, не имеющим возможности установить смягчение немедленно, стоит хотя бы ограничить доступ к веб-интерфейсу OWA из внешней сети или потребовать использования толстого клиента Outlook. Но полагаться только на это рискованно, ведь уязвимость уже эксплуатируется, и время играет против тех, кто медлит.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-42897
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42897
- https://techcommunity.microsoft.com/blog/exchange/addressing-exchange-server-may-2026-vulnerability-cve-2026-42897/4518498
- https://learn.microsoft.com/en-us/exchange/plan-and-deploy/post-installation-tasks/security-best-practices/exchange-emergency-mitigation-service
