Компания Microsoft сообщила о критической уязвимости в локальных версиях почтового сервера Exchange Server. Проблема с идентификатором CVE‑2026‑42897 (оценка по шкале CVSS — 8,1 балла) уже используется злоумышленниками для атак в реальных условиях.
Уязвимость относится к типу межсайтового скриптинга (XSS) — это ошибка обработки входных данных при генерации веб‑страниц. Благодаря ей злоумышленник может подделать содержимое и выполнить произвольный JavaScript‑код в браузере жертвы.
Обнаружение проблемы принадлежит анонимному исследователю в области кибербезопасности.
Злоумышленник отправляет специально подготовленное электронное письмо пользователю. Если получатель откроет его через Outlook Web Access и выполнит определённые действия (например, перейдёт по ссылке или наведёт курсор на элемент письма), в браузере запустится вредоносный код.
Это позволяет:
получить доступ к учётной записи пользователя;
похитить конфиденциальные данные;
распространить атаку дальше по корпоративной сети.
Под угрозой находятся следующие локальные версии сервера:
Exchange Server 2016 (любые обновления);
Exchange Server 2019 (любые обновления);
Exchange Server Subscription Edition (SE) (любые обновления).
Важно: облачная версия Exchange Online уязвимости не подвержена.
Microsoft оперативно предложила временное решение — Exchange Emergency Mitigation Service (служба экстренного устранения угроз). Она автоматически применяет защиту через настройку перезаписи URL и включена по умолчанию. Если служба не активирована, её необходимо включить вручную.
Если использование Exchange Emergency Mitigation Service невозможно (например, из‑за изоляции сети), выполните следующие шаги:
Скачайте последнюю версию Exchange on‑premises Mitigation Tool (EOMT) по ссылке: aka.ms/UnifiedEOMT.
Примените меры защиты:
для одного сервера: выполните в командной строке с повышенными правами (Exchange Management Shell, EMS) команду:
.EOMT.ps1 -CVE "CVE-2026-42897"для всех серверов: используйте команду:
Get-ExchangeServer | Where-Object { $_.ServerRole -ne "Edge" } | .EOMT.ps1 -CVE "CVE-2026-42897"При применении мер защиты может появиться сообщение: «Mitigation invalid for this exchange version» («Устранение не подходит для этой версии Exchange») в поле «Описание». Разработчики уточняют, что это визуальный сбой — если статус отображается как «Applied» («Применено»), значит, защита работает корректно. Команда Exchange занимается устранением этой ошибки отображения.
На данный момент нет подробной информации о:
точном механизме эксплуатации уязвимости;
личности злоумышленников;
масштабе атак;
конкретных целях злоумышленников;
количестве успешных атак.
Чтобы минимизировать риски, Microsoft настоятельно рекомендует:
как можно скорее применить предложенные меры защиты;
проверить статус активации Exchange Emergency Mitigation Service;
при необходимости использовать скрипт EOMT для ручного устранения угрозы;
следить за официальными анонсами компании о выпуске постоянного патча.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь
Компания Microsoft представила инновационную систему на базе искусственного интеллекта — MDASH (Multi‑model Agentic Scanning Harness). Инструмент создан для масштабного поиска и устранения уязвимостей в программном обеспечении. Сейчас система проходит тестирование в рамках ограниченного закрытого доступа у ряда клиентов.
Исследователи в сфере кибербезопасности обнаружили новый опасный бэкдор для Linux‑систем под названием PamDOORa. Вредоносное ПО появилось на российском форуме киберпреступников Rehub — злоумышленник под ником «darkworm» сначала предлагал его за 1 600 долларов, а к 9 апреля снизил цену почти вдвое — до 900 долларов.
Исследователи кибербезопасности из Cisco Talos раскрыли детали изощрённой кибератаки. Злоумышленники использовали инструмент удалённого доступа CloudZ RAT и специальный плагин Pheno, чтобы похищать учётные данные пользователей — в том числе одноразовые пароли (OTP). Разберёмся, как работает эта схема и чем она опасна.