Zero-Day CVE-2026-42897 в Exchange атакуют: патча нет

Представьте средневековый город, потративший целое состояние на каменные стены, железные ворота и ров с водой — и при этом оставивший боковую дверь почтальона подпёртой кирпичом. Именно в такой ситуации оказались клиенты Exchange OWA в прошлый четверг. Стены устояли. Щель для почты — нет.

Microsoft раскрыла CVE-2026-42897 в четверг, 18 мая: активно эксплуатируемый zero-day в Outlook Web Access, и спустя четыре дня патча по-прежнему нет. Исправление, по словам самой Microsoft, появится «в будущем».

Что произошло

Кратко: уязвимость межсайтового скриптинга в OWA позволяет неаутентифицированному злоумышленнику проводить спуфинг-атаки по сети, и, как сообщает Dark Reading, реальная эксплуатация уже идёт. CISA добавила CVE в каталог KEV в пятницу — это федеральный эквивалент пожарной тревоги.

Тайминг почти комичен. Баг появился через два дня после объёмного выпуска Patch Tuesday, в котором, по иронии судьбы, не было ни одного zero-day. Специалисты по защите едва успели закрыть тикеты за прошлый месяц, как этот оказался в очереди — без прикреплённого исправления.

Затронуты три on-premise продукта: Exchange Server 2016, Exchange Server 2019 и Exchange Server Subscription Edition. Microsoft присвоила уязвимости CVSS 8.1. Национальная база данных уязвимостей NIST не согласилась и оценила её в 6.1 — средний уровень серьёзности. Это расхождение важно: любой, кто использует автоматическую приоритизацию патчей по уровню серьёзности, получит разные ответы в зависимости от того, какому источнику доверяет.

Центр кибербезопасности Бельгии в понедельник опубликовал собственный бюллетень, и бельгийцы выражались без обиняков. Успешная эксплуатация, предупредил CCB, может дать злоумышленнику доступ к почтовому ящику жертвы и токенам сессии, а также возможность вносить несанкционированные изменения в настройки почтового ящика или содержимое писем. Иными словами, щель для почты не просто открыта — злоумышленник может ещё и перетасовать письма внутри.

Техническая анатомия

Если отбросить маркетинг, это классическая XSS-цепочка. Собственное описание Microsoft говорит прямо: «Злоумышленник может воспользоваться этой проблемой, отправив пользователю специально созданное письмо. Если пользователь откроет письмо в Outlook Web Access и будут выполнены определённые условия взаимодействия, в контексте браузера может быть выполнен произвольный JavaScript.» Всё. Письмо-ловушка, жертва, открывшая его в OWA, — и JavaScript злоумышленника уже работает в сессии пользователя.

XSS, если кто забыл, — один из самых распространённых классов уязвимостей на планете и постоянный участник OWASP Top 10. Богдан Тирон, основатель компании по пентестингу Fortbridge, написал в LinkedIn, что XSS «по-прежнему владеет корпоративной почтой в 2026 году» и что «скучные уязвимости — это те, которые продолжают работать». Он прав, и любой, кто занимался триажем веб-почты, знает её суть: богатый HTML-рендеринг, десятилетия совместимости с устаревшей разметкой и санитайзер, который должен быть идеальным каждый раз — против злоумышленника, которому достаточно выиграть один раз.

Описание последствий от Тирона заслуживает того, чтобы его повесить на стену. Риск, написал он, — «не компрометация сервера. Это компрометация почтового ящика: чтение почты, отправка писем от имени жертвы, кража токенов сессии, установка правил пересылки, которые переживают смену пароля.» Последняя деталь — та самая скучная мелочь, из-за которой рушатся кварталы. Правило пересылки, тихо сидящее в почтовом ящике финансового директора, не интересуется тем, что IT только что сменил пароль. Оно продолжает перехватывать счета.

Отсюда путь к компрометации деловой электронной почты или подготовке к атаке с использованием программ-вымогателей короткий и хорошо протоптанный. Для мошенничества с платёжными поручениями в отношении отдела закупок или запуска внутренней фишинговой кампании, обходящей все внешние почтовые фильтры организации, RCE на хосте Exchange не нужен. Достаточно одного сообщения с виду от доверенного источника изнутри.

Кто пострадает

Очевидные пострадавшие — компании с on-premise Exchange, и это немаленькая аудитория. Регулируемые отрасли, суверенные облака и все, чья команда комплаенса когда-либо боялась переносить почтовые ящики в M365, по-прежнему используют Exchange 2016, 2019 или SE где-то в серверной. Сюда входят финтех-бэк-офисы, платёжные процессоры со строгими требованиями к месту хранения данных и операторы iGaming, предпочитающие держать операционные коммуникации на физически контролируемой инфраструктуре.

Отрасли, которые больше всего беспокоят меня в ближайшие 90 дней, — те, где компрометация почтового ящика напрямую ведёт к движению денег. Операционные команды в платёжной сфере одобряют изменения поставщиков по электронной почте. Казначейские отделы подтверждают детали банковских переводов по электронной почте. Операторы спортивных ставок координируются с платёжными провайдерами и KYC-вендорами по электронной почте. Правило пересылки на нужном почтовом ящике стоит дороже любого вируса-вымогателя.

Крипто- и DeFi-компании с любым корпоративным развёртыванием Exchange должны быть особенно настороже. Любой, кто наблюдал за эксплойтом моста, знает: злоумышленник редко ломает криптографию. Он атакует оператора социальной инженерией. Устойчивый плацдарм в почтовом ящике — именно такая предварительная позиция, которая через шесть недель превращается в разбор полётов «как они узнали расписание наших подписантов мультисига».

Компании в сфере ad-tech и корпоративной инфраструктуры, уже мигрировавшие на Exchange Online, тоже не в безопасности. Немало поглощённых дочерних компаний по-прежнему работают на собственном on-premise Exchange, потому что интеграционный проект откладывался на следующий квартал три года подряд. Эти забытые серверы теперь числятся в CMDB под меткой «legacy, не трогать» — и при этом включены в список CISA.

План действий для команд безопасности

Первым делом сделайте то неброское, о чём Microsoft просит клиентов. Убедитесь, что Exchange Emergency Mitigation Service включён. Он появился в 2021 году, включён по умолчанию, и Redmond автоматически доставил через него митигацию для 2016, 2019 и SE. Слова Microsoft стоит процитировать дословно: «Использование EM Service — лучший способ немедленно снизить риск этой уязвимости для вашей организации. Если EM Service сейчас отключён, мы рекомендуем включить его прямо сейчас.» Им стоит верить.

Если EM Service отключён, запасной вариант — обновлённый Exchange On-premises Mitigation Tool (EOMT), применяемый на каждом сервере отдельно или через привилегированную Exchange Management Shell. Имейте в виду: известные митигации нарушают работу функций OWA Print Calendar и OWA light. Это цунами тикетов в службу поддержки, которое придётся пережить.

Помимо официальных мер, охотьтесь за паттернами устойчивости, на которые указал Тирон. Проверьте все почтовые ящики на наличие правил для входящих — особенно правил пересылки и перенаправления, созданных за последние две недели. Массово аннулируйте токены сессий OWA, если ваш тенант это поддерживает. Проверьте отправленные письма на предмет сообщений, похожих на внутренний фишинг или попытки перенаправления счетов. Сопоставьте активность с соответствующими техниками ATT&CK в части сбора электронной почты и манипуляций с правилами — чтобы ваши детекции пережили следующий вариант этого бага.

И обновите регламент управления патчами сейчас, пока всё спокойно, потому что Microsoft не назвала никаких сроков выхода реального исправления. Заблаговременно забронируйте окно обслуживания на тот момент, когда оно выйдет.

Ключевые выводы

• Патча нет, эксплуатация активна, включена в KEV. CVE-2026-42897 используется в реальных атаках, а ETA от Microsoft — «в будущем».
• Включите Exchange EM Service сегодня. Это рекомендованная мера, включена по умолчанию с 2021 года и автоматически доставляет исправление для 2016, 2019 и SE.
• Риск — компрометация почтового ящика, а не захват сервера. Ожидайте BEC, устойчивых правил пересылки и кражи токенов сессий, а не вируса-вымогателя на хосте Exchange.
• CVSS 8.1 против NIST 6.1. Автоматическая приоритизация по серьёзности даст противоречивые ответы. Переопределите вручную и относитесь к уязвимости как к критической.
• Скучные баги продолжают побеждать. XSS в веб-почте в 2026 году — не анекдот. Это кирпич, подпирающий дверь почтальона, пока замок красуется позади.