Корпорация Microsoft выпустила внеочередное обновление для Exchange Server и опубликовала информацию об исправлении пяти уязвимостей, затрагивающих как облачную версию Exchange Online, так и локальные серверные продукты. Наибольшую опасность представляет уязвимость CVE-2026-55008, получившая 9,6 балла по шкале CVSS (Common Vulnerability Scoring System - стандартная система оценки критичности уязвимостей). Она позволяет злоумышленнику осуществить межсайтовый скриптинг (XSS) через компонент Outlook Web Access (OWA) и тем самым выдать себя за любого другого пользователя системы.
Детали уязвимостей
Проблема CVE-2026-55008 классифицирована как некорректная нейтрализация входных данных при генерации веб-страницы. В случае эксплуатации атакующий может внедрить вредоносный скрипт в легитимное сообщение или элемент интерфейса OWA. Когда жертва открывает скомпрометированное письмо, скрипт выполняется в её браузере и получает доступ к сессионной информации, ключам аутентификации или другим конфиденциальным данным. Это открывает возможность для кражи учётных записей, перехвата переписки и дальнейшего бокового перемещения в сети организации. Microsoft отмечает, что пока не зафиксировано ни активного использования этой уязвимости, ни публикации кода эксплойта (Proof-of-Concept, PoC), но в компании оценивают вероятность скорого появления атак как высокую. Особенно уязвимыми оказываются те OWA-интерфейсы, которые открыты для доступа из интернета без дополнительной многофакторной защиты.
Помимо критического XSS, в локальной версии Exchange Server устранено ещё три уязвимости. CVE-2026-55005 (CVSS 8.8) связана с переполнением буфера в куче (heap-based buffer overflow) и позволяет удалённо выполнить произвольный код. Злоумышленник, отправив специально сформированный запрос или сообщение, может переполнить выделенную область памяти и перехватить управление процессом Exchange. CVE-2026-55006 и CVE-2026-55009 (обе с оценкой 7,8) затрагивают механизмы авторизации: первая - недостаточную гранулярность контроля доступа, вторая - некорректную авторизацию. Обе уязвимости потенциально дают возможность повысить привилегии до уровня администратора почтовой системы, что открывает доступ ко всем почтовым ящикам и конфигурациям сервера.
Для облачной версии Exchange Online критичность оценена несколько ниже: уязвимость CVE-2026-54998 (CVSS 8.8) уже устранена централизованно на всех серверах Microsoft, и дополнительные действия со стороны клиентов не требуются. Эта проблема также позволяла злоумышленнику получить повышенные привилегии в среде Exchange Online. Однако, в отличие от локальных уязвимостей, она не требовала сложной атаки через XSS - вектор эксплуатации был связан с обработкой запросов на стороне сервера.
Набор исправлений затронул несколько версий Exchange Server: Cumulative Update 23 для Exchange Server 2016, Cumulative Update 14 и 15 для Exchange Server 2019, а также выпуск Exchange Server Subscription Edition RTM. Все перечисленные версии поддерживаются, и администраторам настоятельно рекомендуется как можно быстрее установить обновления из официального центра безопасности Microsoft (Security Update Guide). Временные обходные меры, такие как ограничение доступа к OWA по IP-адресу или использование многофакторной аутентификации, могут снизить риск, но не являются заменой установке патча, поскольку уязвимости затрагивают также и другие компоненты Exchange.
Несмотря на отсутствие зафиксированных атак на момент публикации бюллетеня, подобные массовые исправления в почтовом сервере традиционно привлекают внимание киберпреступников и исследователей безопасности. Exchange остаётся одной из самых распространённых платформ для корпоративной электронной почты, и любая ошибка в его коде может быть использована для масштабной компрометации организаций. Комбинация XSS с возможностью выполнения произвольного кода и повышения привилегий делает этот набор уязвимостей особенно опасным для тех компаний, где управление исправлениями (patch management) осуществляется с задержками.
Ссылки
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-54998
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-55005
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-55006
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-55008
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-55009