Если в вашей организации используется локальный (on‑premises) Microsoft Exchange Server — эта новость для вас критична.
Microsoft подтвердила, что злоумышленники уже активно эксплуатируют новую уязвимость нулевого дня CVE-2026-42897. CISA (Управление кибербезопасности США) добавила её в каталог известных эксплуатируемых уязвимостей 15 мая и обязала федеральные агентства устранить риск до 29 мая.
Полноценного патча пока нет. Единственная защита на данный момент — немедленно применить временные меры через Exchange Emergency Mitigation Service (EEMS) или ручной инструмент EOMT.
- CVE ID: CVE-2026-42897
- CVSS (Microsoft): 8.1 (высокая степень опасности)
- Тип проблемы: Spoofing через межсайтовый скриптинг (XSS, CWE-79)
Атакующему достаточно отправить специально сформированное письмо на любой почтовый ящик вашей организации. Если пользователь откроет это письмо в Outlook Web Access (OWA, веб‑интерфейс почты), в контексте его браузера может выполниться произвольный JavaScript-код.
Злоумышленнику не нужен доступ к серверу или учётной записи. Уязвимость работает по принципу "прочитал письмо — запустил атаку".
Версии под угрозой:
- Exchange Server 2016 (любой уровень обновлений)
- Exchange Server 2019 (любой уровень обновлений)
- Exchange Server Subscription Edition (SE) (любой уровень обновлений)
Что делать?
Microsoft уже выпустила временную защиту через сервис Exchange Emergency Mitigation Service (EEMS). Этот сервис включён по умолчанию на поддерживаемых серверах и автоматически применяет правила перенаправления URL для блокировки атак.
Microsoft рекомендует запустить Exchange Health Checker script. Он сгенерирует HTML-отчёт, в котором будет раздел с результатами проверки EEMS. Ищите идентификатор митигации: M2.1.x — это подтверждение, что защита от CVE-2026-42897 применена. Если EEMS отключён — немедленно включите его.
Для сред, где EEMS недоступен, используйте Exchange On-premises Mitigation Tool (EOMT). Порядок действий:
- Скачайте последнюю версию EOMT с aka.ms/UnifiedEOMT
- Запустите Exchange Management Shell (EMS) с правами администратора
- Выполните одну из команд:
Для одного сервера:
.\EOMT.ps1 -CVE "CVE-2026-42897"Для всех серверов (кроме Edge):
Get-ExchangeServer | Where-Object { $_.ServerRole -ne "Edge" } | .\EOMT.ps1 -CVE "CVE-2026-42897"После применения митигации в OWA:
- Перестанет работать печать календаря
- Встроенные изображения могут отображаться некорректно
- Фактически ломается устаревший интерфейс OWA Light
Также известна косметическая проблема: в поле "Описание" может появиться сообщение "Меры по устранению уязвимости недействительны для этой версии Exchange". Это только визуальный баг. Если статус отображается как «"Применено" — защита работает.
Почему критично?
- Уязвимость уже активно эксплуатируется в реальных атаках.
- Это не «теоретическая» проблема — CISA подтвердила эксплуатацию.
- Exchange Server остаётся самой атакуемой точкой в корпоративной инфраструктуре.
- Полноценный патч может задержаться, а каждый час промедления повышает риск компрометации.
Когда ждать полноценный патч?
Microsoft готовит постоянное исправление, но сроки не названы.
Для Exchange Server 2016 и 2019 полноценный патч будет доступен только пользователям программы Extended Security Updates.
