A Microsoft confirmou uma vulnerabilidade crítica no Exchange Server identificada como CVE-2026-42897 que permite a execução de código no contexto do navegador através de um ataque de tipo cross-site scripting (XSS) dirigido a usuários do Outlook na web (OWA). A exploração é produzida através de um e-mail especialmente manipulado que, se o destinatário o abrir em OWA e se cumprir certas condições de interação, você pode executar JavaScript arbitrário e, portanto, permitir desde o roubo de cookies e tokens de sessão até cadeias de ataque mais complexas que pivotem dentro da rede.
A falha afecta as versões actualizadas Exchange Server 2016, Exchange Server 2019 e Exchange Server Subscription Edition (SE). A Microsoft sublinhou que, embora ainda não existam adesivos definitivos disponíveis, o seu Exchange Emergency Mitigation Service (EEMS) irá colocar mitigações automáticas para proteger servidores on-premises com papel Mailbox. O EEMS funciona como um serviço do Windows e foi concebido precisamente para aplicar soluções interinas contra vulnerabilidades ativamente exploradas; se você estiver desativado, a Microsoft recomenda ativar imediatamente. Mais detalhes oficiais estão no blog da equipe do Exchange: Exchange Team — Microsoft Tech Community.
Para ambientes isolados (air‐gapped) ou administradores que preferem controle manual, a Microsoft oferece o Exchange on-premises Mitigation Tool (EOMT). A mitigação é aplicada executando o programa de uma Exchange Management Shell elevada com comandos como . \EOMT.ps1 - CVE "CVE-2026-42897" num único servidor ou Get-ExchangeServer | Where-Object { $_.ServerRole -ne "Edge" } | .\EOMT.ps1 -CVE "CVE-2026-42897" para todos os servidores com papéis relevantes. Se você precisa entender como funciona EEMS e seus requisitos antes de ativar, a documentação da Microsoft sobre o serviço é uma referência útil: Documentação do Exchange Emergency Mitigation Service.
É importante que as equipes de segurança internaizem duas realidades operacionais: primeiro, a Microsoft anunciou que lançará adesivos para o Exchange SE RTM e para certas atualizações cumulativas (CU) de 2016 e 2019, mas as atualizações para o Exchange 2016 e 2019 estarão disponíveis apenas para clientes inscritos no programa ESU Period 2; segundo, Se o seu servidor executar uma versão anterior a março de 2023, o EEMS não poderá baixar novas mitigações, o que obriga a um plano manual de mitigação ou atualização.
As implicações práticas vão além do simples adesivo. Um exploit XSS efetivo contra OWA pode derivar em acessos persistentes a contas, movimento lateral e exfiltração de dados se o atacante consegue tokens válidos ou instala mecanismos de persistência. Por isso é crítico reduzir a superfície de exposição: considere bloquear o acesso externo a OWA da rede pública quando possível, forçar o uso de VPN para acesso administrativo e habilitar autenticação multifator (MFA) no frontend que valide identidades antes de apresentar a interface web.
A nível operacional, actue com prioridade: active EEMS Se estiver disponível, aplique EOMT em ambientes isolados, e planifique a instalação dos sistemas oficiais assim que forem publicados. Paralelamente, monitorize logs de IIS, registros de OWA e detecções de proxy inversos em busca de padrões anormais que indiquem envios massivos de e-mails com payloads HTML/JS, sessões iniciadas a partir de locais suspeitos ou mudanças em cookies de sessão. Se a sua organização mantiver o Exchange 2016/2019 após o seu fim de suporte, reevalia o risco e a necessidade de migrar para versões suportadas ou assegurar uma assinatura ESU.
Finalmente, coordene com sua equipe de resposta a incidentes para realizar buscas retrospectivas (hunt) por indicadores de compromisso relacionados com acessos OWA e com possíveis exfiltrações recentes. Manter uma postura pró-ativa e aplicar mitigações automáticas ou manuais agora reduz a janela de exposição até que cheguem os adesivos definitivos e evita que um simples clique de usuário derive em uma lacuna maior.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...