Pesquisadores de segurança e a própria Microsoft alertaram para uma vulnerabilidade crítica no Microsoft Exchange Server identificada como CVE-2026-42897. A falha afeta o Outlook Web Access (OWA) e já está sendo explorada ativamente por invasores em ataques reais.
A vulnerabilidade recebeu pontuação CVSS 8.1 e envolve um problema de cross-site scripting (XSS), permitindo que atacantes executem códigos JavaScript arbitrários no navegador da vítima através de um e-mail especialmente manipulado.
Segundo a Microsoft, o ataque pode ser iniciado remotamente sem necessidade de autenticação prévia. Basta que o usuário abra a mensagem maliciosa no Outlook Web Access para que o código seja executado em determinadas condições de interação.
Os pesquisadores alertam que o exploit pode ser utilizado para roubo de sessão autenticada, espionagem de e-mails corporativos, coleta de credenciais e movimentação lateral dentro de ambientes empresariais.
As versões afetadas incluem:
- Exchange Server 2016
- Exchange Server 2019
- Exchange Server Subscription Edition (SE)
O Exchange Online do Microsoft 365 não é impactado pela vulnerabilidade.
A Microsoft informou que ainda trabalha em uma correção definitiva, mas já disponibilizou mitigações emergenciais através do Exchange Emergency Mitigation Service (EEMS) e da ferramenta Exchange On-Premises Mitigation Tool (EOMT).
A agência norte-americana CISA adicionou a falha ao catálogo de vulnerabilidades exploradas ativamente, aumentando o alerta para administradores de infraestrutura corporativa.
Especialistas destacam que servidores Exchange on-premises continuam sendo alvos frequentes de grupos hackers e operações de espionagem digital devido ao acesso privilegiado a comunicações corporativas e sistemas internos.
A recomendação imediata é aplicar as mitigações disponibilizadas pela Microsoft, monitorar acessos suspeitos no OWA e preparar atualização assim que o patch definitivo for liberado.
