A Microsoft divulgou esta semana uma vulnerabilidade crítica no Exchange Server que já está sendo explorada por atacantes. A falha, identificada como CVE-2026-42897, afeta as versões on-premises em servidores de e-mail corporativo e permite a execução de código malicioso nos navegadores das vítimas.A empresa anunciou a correção apenas dois dias após o Patch Tuesday de maio, que havia corrigido 137 vulnerabilidades – mas não incluía nenhum zero-day. A falha ficou de fora do pacote principal de atualizações.Ataque começa com e-mail malicioso enviado para vítimaO ataque explora uma vulnerabilidade de cross-site scripting no Outlook Web Access, a interface web do Exchange. Basicamente, o invasor envia um e-mail especialmente preparado para a vítima.Mitigação M2.1.0 aplicada via Exchange Emergency Mitigation Service mostra mensagem de erro cosmético que pode ser ignorada pelos administradores. Imagem: Microsoft.Se o usuário abrir a mensagem pelo OWA e atender certas condições de interação, o código JavaScript malicioso é executado diretamente no navegador. A Microsoft classificou o problema como falha de spoofing e XSS.A descrição técnica oficial menciona "neutralização inadequada de entrada durante a geração de páginas web". Isso significa que o sistema não filtra corretamente dados potencialmente perigosos antes de exibi-los.Versões on-premises do Exchange estão vulneráveisA falha afeta o Exchange Server 2016, Exchange Server 2019 e Exchange Server Subscription Edition. Todas as atualizações dessas versões estão vulneráveis.O Exchange Online, a versão em nuvem do serviço, não é afetada pela CVE-2026-42897. Apenas instalações locais nas empresas precisam aplicar as correções.Microsoft oferece duas formas de mitigação temporáriaA empresa disponibilizou o Exchange Emergency Mitigation Service como principal forma de proteção. O serviço está ativo por padrão desde setembro de 2021 e aplica a correção automaticamente nos servidores compatíveis.Administradores podem verificar se a mitigação M2.1.x foi aplicada usando o script Exchange Health Checker. A ferramenta gera relatórios HTML com o status do sistema.Falha permite execução de código JavaScript arbitrário no navegador das vítimas através de cross-site scripting no Exchange Server.Para ambientes desconectados ou isolados da internet, a Microsoft liberou o Exchange on-premises Mitigation Tool. O script EOMT.ps1 pode ser executado manualmente via Exchange Management Shell em servidores individuais ou em toda a infraestrutura de uma vez.Correção temporária causa problemas conhecidos em algumas funcionalidadesA mitigação desativa temporariamente alguns recursos do OWA. A impressão de calendários pode parar de funcionar após a aplicação da correção. Imagens inline também podem não aparecer corretamente no painel de leitura dos destinatários. Como alternativa, as imagens precisam ser enviadas como anexos.O OWA Light, versão simplificada da interface que já está descontinuada há anos, deixa de funcionar adequadamente. A Microsoft alerta que esse modo não é recomendado para uso em produção.Interface do Outlook Web Access onde a vulnerabilidade pode ser explorada quando usuários abrem e-mails maliciosos preparados por atacantes.Patch de segurança permanente será lançado apenas para alguns clientesA Microsoft planeja lançar uma atualização de segurança definitiva para as versões afetadas. O patch será disponibilizado para Exchange SE RTM, Exchange 2016 CU23 e Exchange 2019 CU14 e CU15.As atualizações para Exchange 2016 e 2019 serão liberadas apenas para clientes inscritos no programa Extended Security Update Período 2. O programa ESU Período 1 terminou em abril de 2026 e não receberá este patch. A vulnerabilidade foi reportada por um pesquisador anônimo. A Microsoft não divulgou detalhes sobre os ataques que exploraram a falha nem sobre os grupos responsáveis.Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.