A Microsoft confirmou uma vulnerabilidade crítica em versões on-premises do Exchange Server, registada como CVE‐2026‐42897, que está sendo explorada ativamente em ambientes reais. Trata-se de um erro de tipo cross-site scripting (XSS) que permite spoofing: um atacante pode enviar um e-mail especialmente confeccionado que, se o destinatário o abrir no Outlook Web Access (OWA) e realiza certas interações, permite a execução de JavaScript arbitrário no contexto do navegador do usuário.
A natureza deste erro torna-o particularmente perigoso em combinação com técnicas de engenharia social: o vetor inicial não exige credenciais comprometidas ou acesso prévio ao servidor, basta que o usuário alvo visualize ou interatue com a mensagem em OWA. Embora a Microsoft tenha atribuído um CVSS alto (8.1) e tenha marcado a incidência como “Exploitation Detected”, ainda não foram publicados detalhes forenses sobre o ator, campanhas ou escala das invasões, o que complica a atribuição e o alcance real do dano.
É importante sublinhar que Exchange Online não é afetado, mas as instalações locais do Exchange Server 2016, 2019 e Subscription Edition estão em qualquer nível de atualização. A Microsoft tem habilitado uma mitigação temporária automática através do seu Exchange Emergency Mitigation Service (EEMS); os administradores podem consultar a documentação oficial em página EEMS para confirmar o estado e configuração desse serviço.
Para ambientes isolados por políticas de air‐gap ou que não possam usar a mitigação automática, a Microsoft publicou a ferramenta Exchange On-premises Mitigation Tool (EOMT). O link curto oficial é https://aka.ms/UnifiedEOMT, e a execução típica para aplicar a mitigação seria, por exemplo, executar .\EOMT.ps1 - CVE "CVE-2026-42897" em um Exchange Management Shell elevado ou usar um comando que recorra servidores com Get-ExchangeServer para aplicá-lo a todos.
Para além de aplicar as atenuações proporcionadas, as organizações devem assumir que a exposição de OWA aumenta o risco: Verifique e active a mitigação automática (EEMS) e confirme que o serviço do Windows correspondente está em execução, ou aplique EOMT se a rede estiver desligada. Enquanto isso, reduza a superfície de ataque limitando o acesso externo a OWA por meio de listas de controle de acesso, redes privadas virtuais, ou um WAF com regras para bloquear payloads suspeitos, e foirce autenticação multifator para o acesso web quando possível.
Além de medidas de contenção, incorpore tarefas de detecção e resposta: inspeccione registros de OWA e do servidor Exchange em busca de acessos incomuns, cabeçalhos ou parâmetros que contenham scripts, e pivotee em buzones que puderam receber e-mails suspeitos. Se houver suspeita de exploração, preserve evidências, isole os servidores afetados e contacte a equipe de suporte e resposta interna ou a Microsoft para coordenar a pesquisa.
A exposição prolongada de servidores on-premises sem adesivos ou mitigações modernas torna este tipo de vulnerabilidades um impacto desproporcional. Como prática de segurança, planifique aplicar o adesivo definitivo assim que a Microsoft o publique, verifique a arquitetura para reduzir dependências críticas em serviços expostos e atualize processos de resposta a incidentes para cobrir ataques baseados em conteúdo web e spoofing.
Para manter-se informado e obter instruções concretas de aplicação de mitigações e adesivos, consulte fontes oficiais da Microsoft e documentação de resposta a vulnerabilidades: EEMS e EOMT (herramienta de mitigação). Também é recomendável subscrever boletins de segurança e feeds de Inteligência de Vulnerabilidades para receber avisos sobre atualizações e detalhes técnicos adicionais.
Se administrar um servidor Exchange afectado, actue com prioridade: aplique a mitigação adequada agora, monitorize evidências de compromisso e prepare-se para colocar o adesivo permanente enquanto estiver disponível. A coordenação entre equipes de TI, segurança e comunicação interna é fundamental para minimizar o risco e conter possíveis campanhas direcionadas aos seus usuários.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Mini Shai-Hulud: o ataque que transformou as dependências em vetores de intrusão maciça
Resumo do incidente: O GitHub investiga acesso não autorizado a repositórios internos depois de o ator conhecido como TeamPCP ter colocado a venda em um fórum criminoso o supost...
Fox Tempest expõe a fragilidade da assinatura digital na nuvem
A revelação da Microsoft sobre a operação de "malware-signing-as-a-service" conhecida como Fox Tempest volta a colocar no centro a vulnerabilidade mais crítica do ecossistema de...
Trapdoor: a operação de malvertising que transformou apps Android em uma fábrica automática de receitas ilegais
Pesquisadores de cibersegurança descobriram uma operação de malvertising e fraude publicitária móvel batizada como Trapdoor, que converte instalações legítimas de aplicações And...
Do aviso à ação orquestração e IA para acelerar a resposta a incidentes de rede
As equipes de TI e de segurança vivem uma realidade conhecida: um aluvião constante de alertas que chega desde plataformas de monitoramento, sistemas de infraestrutura, serviços...
Nx Console em jaque: como uma extensão de produtividade se tornou um roubo de credenciais e uma ameaça para a cadeia de abastecimento
Um ataque dirigido a desenvolvedores voltou a evidenciar a fragilidade da cadeia de fornecimento do software: a extensão Nx Console para editores como Visual Studio Code, com ma...