Почему Microsoft Exchange пережил две крупные уязвимости безопасности за одну неделю

Важно, что на момент демонстрации не было подтверждений эксплуатации этой цепочки в реальных атаках. Однако сам факт её существования показал наличие ещё не исправленных уязвимостей в Exchange.

Zero‑day CVE‑2026‑42897, который уже использовался в атаках

Почти одновременно Microsoft предупредила о другой проблеме — уязвимости CVE‑2026‑42897, которая уже применялась злоумышленниками.

Это уязвимость типа cross‑site scripting (XSS), возникающая из‑за неправильной обработки входных данных при генерации веб‑страниц в Microsoft Exchange Server. Она позволяет злоумышленнику выполнять поддельные действия или запускать вредоносный JavaScript через веб‑интерфейсы, включая Outlook Web Access.

Сценарий атаки обычно выглядит так:

• атакующий отправляет специально сформированный контент (например, письмо);
• пользователь открывает его через Outlook Web Access;
• в браузере выполняется вредоносный JavaScript.

Уязвимость получила оценку CVSS около 8.1 (High).

Затронутые версии Exchange

Проблема затрагивает локальные установки Microsoft Exchange, включая:

• Exchange Server 2016
• Exchange Server 2019
• Exchange Server Subscription Edition (SE)

По данным Microsoft, Exchange Online (облачная версия) этой уязвимости не подвержен.

После подтверждения эксплуатации в реальных атаках уязвимость была добавлена в каталог CISA Known Exploited Vulnerabilities (KEV).

Временные меры защиты от Microsoft

Поскольку атаки начались ещё до выхода полноценного исправления, Microsoft выпустила временные меры смягчения риска.

Ключевой механизм — Exchange Emergency Mitigation Service (EEMS). Эта служба может автоматически применять защитные правила на сервере.

Для CVE‑2026‑42897 она внедряет правило URL Rewrite, которое блокирует вредоносные запросы к уязвимому компоненту.

Администраторам Exchange рекомендовано:

• убедиться, что Exchange Emergency Mitigation Service включён;
• установить официальное обновление безопасности, как только оно станет доступно;
• анализировать журналы Exchange и IIS на предмет подозрительной активности.

Реакция CISA

Агентство CISA (Cybersecurity and Infrastructure Security Agency) добавило CVE‑2026‑42897 в свой каталог Known Exploited Vulnerabilities.

Это означает, что для федеральных гражданских ведомств США действует обязательное требование устранить проблему согласно директиве Binding Operational Directive 22‑01.

На практике включение уязвимости в KEV означает, что организации должны рассматривать её как срочную операционную угрозу, а не теоретический риск.

Типичные шаги реагирования включают:

• немедленное применение исправлений или временных мер защиты;
• проверку интернет‑доступности уязвимых сервисов;
• изоляцию или отключение систем, если защиту применить невозможно.

Почему это важно для компаний с локальным Exchange

Два инцидента в течение одной недели хорошо показывают, почему on‑prem Exchange остаётся одним из самых привлекательных объектов для атак.

Ключевые причины:

1. Доступность из интернета
Exchange часто публикуется в сети через OWA и связанные сервисы, что увеличивает поверхность атаки.

2. Высокая ценность компрометации
Взлом Exchange может открыть доступ к электронной почте, токенам аутентификации и иногда к инфраструктуре Windows‑домена.

3. Разные типы угроз
События той недели показали два полюса атак:

• сложные цепочки zero‑day‑уязвимостей, обнаруженные исследователями;
• более простые веб‑уязвимости, которые злоумышленники быстро используют в реальных атаках.

4. Разрыв между обнаружением и исправлением
Zero‑day CVE‑2026‑42897 продемонстрировал ситуацию, когда атаки начинаются до выхода патча, и организациям приходится полагаться на временные меры защиты и мониторинг.

Итог

История с Pwn2Own Berlin 2026 и уязвимостью CVE‑2026‑42897 вновь показала устойчивую тенденцию: локальные серверы Microsoft Exchange остаются критически важной точкой риска для многих организаций.

Демонстрация на Pwn2Own показала, насколько мощными могут быть исследовательские цепочки эксплойтов, а активно используемый zero‑day напомнил, как быстро реальные атакующие начинают использовать найденные уязвимости.

Для компаний, которые продолжают использовать on‑prem Exchange, практический вывод очевиден: минимизировать публикацию сервисов в интернет, держать включёнными механизмы автоматической защиты и устанавливать обновления безопасности сразу после их выхода.