A Microsoft revelou uma nova vulnerabilidade de segurança que afeta versões on-premises do Exchange Server e que já está sendo explorada ativamente por invasores. A falha, identificada como CVE-2026-42897, recebeu pontuação CVSS 8.1 e envolve um problema de spoofing decorrente de uma vulnerabilidade de cross-site scripting (XSS).

Segundo a empresa, um invasor pode explorar a falha enviando um e-mail especialmente criado para o alvo. Quando a mensagem é aberta no Outlook Web Access (OWA), e determinadas condições de interação são atendidas, códigos JavaScript arbitrários podem ser executados dentro do contexto do navegador da vítima.

A vulnerabilidade foi classificada pela Microsoft com o status “Exploitation Detected”, indicando que já existem tentativas reais de exploração em andamento. Apesar disso, a companhia não divulgou detalhes técnicos sobre os ataques observados, nem informações sobre os responsáveis pela atividade maliciosa, escala das campanhas ou possíveis vítimas comprometidas.

A origem do problema está na neutralização inadequada de entradas durante a geração de páginas web no Exchange Server. Esse comportamento abre espaço para ataques de cross-site scripting, técnica frequentemente utilizada para executar scripts maliciosos no navegador de usuários legítimos, roubar sessões autenticadas, manipular conteúdo exibido e realizar ações em nome da vítima.

De acordo com a Microsoft, o ataque pode ser iniciado remotamente sem autenticação prévia. O vetor principal envolve o envio de um e-mail manipulado que, ao ser processado pelo Outlook Web Access, permite que o código malicioso seja executado no navegador do usuário afetado.

A empresa informou que versões online do serviço, como o Exchange Online do Microsoft 365, não são impactadas pela vulnerabilidade. O problema afeta exclusivamente instalações locais das seguintes versões:

• Exchange Server 2016

• Exchange Server 2019

• Exchange Server Subscription Edition (SE)

Todos os níveis de atualização dessas versões estão vulneráveis.

Enquanto trabalha em uma correção definitiva, a Microsoft disponibilizou uma mitigação temporária por meio do Exchange Emergency Mitigation Service. O mecanismo aplica automaticamente uma configuração de reescrita de URL destinada a bloquear a exploração da falha. O recurso vem habilitado por padrão, mas administradores devem verificar se o serviço do Windows responsável pela funcionalidade está ativo.

Para ambientes isolados ou com restrições de acesso externo, como infraestruturas air-gapped, a companhia orienta o uso da ferramenta Exchange On-Premises Mitigation Tool (EOMT). O script pode ser executado individualmente em cada servidor ou aplicado em massa via Exchange Management Shell com privilégios elevados.

A Microsoft também reconheceu um problema conhecido relacionado à exibição da mitigação. Em alguns casos, o sistema pode mostrar a mensagem “Mitigation invalid for this exchange version.” no campo de descrição. Segundo a empresa, trata-se apenas de um erro visual e a mitigação continua sendo aplicada corretamente quando o status aparece como “Applied”.

Embora os detalhes da exploração permaneçam limitados, o caso reacende preocupações envolvendo servidores Exchange on-premises, historicamente visados por grupos hackers em campanhas de espionagem, acesso inicial e comprometimento de ambientes corporativos. Como o Exchange frequentemente opera integrado a autenticação corporativa, e-mail interno e serviços críticos de colaboração, falhas exploráveis remotamente tendem a representar alto risco operacional para empresas e governos.

A recomendação imediata é aplicar as mitigações fornecidas pela Microsoft e acompanhar a liberação da correção definitiva para reduzir a superfície de ataque e evitar possíveis comprometimentos.