Microsoft potvrdil aktívne zneužívanie zero-day zraniteľnosti CVE-2026-42897 v Exchange Serveri. Útok prebieha cez e-mail v OWA. Zistite, či ste ohrození a čo treba podniknúť.
Čo sa stalo
Microsoft 14. mája 2026 zverejnil informácie o zraniteľnosti CVE-2026-42897, ktorá postihuje Exchange Server 2016, 2019 a Subscription Edition (SE). Ide o spoofing zraniteľnosť typu cross-site scripting (XSS) — konkrétne CWE-79 — spôsobenú nesprávnou neutralizáciou používateľského vstupu pri generovaní webovej stránky v prostredí Outlook Web Access (OWA).
CVSS skóre zraniteľnosti je 8.1 (Critical). Útočník nepotrebuje žiadne oprávnenia — stačí odoslať špeciálne sformovaný e-mail. Keď ho príjemca otvorí v OWA a splnia sa určité interakčné podmienky, útočníkov JavaScript sa vykoná v kontexte prihláseného používateľa.
Aké sú dôsledky úspešného útoku
Úspešné zneužitie zraniteľnosti umožňuje útočníkovi:
- spoofovanie e-mailov v mene kompromitovaného používateľa,
- krádež prihlasovacích údajov a session tokenov,
- hijacking relácie a vykonávanie akcií v mene obete.
Útok je obzvlášť zákerný, pretože prichádza cez štandardný e-mail a nevyžaduje prílohu ani odkaz — obchádza tak tradičné bezpečnostné kontroly zamerané na phishing. Microsoft zároveň potvrdil, že reálne útoky už prebiehajú — CVE je klasifikované ako „Exploitation Detected".
Koho sa to týka
Zraniteľnosť postihuje výlučne on-premises Exchange Server — teda organizácie, ktoré prevádzkujú vlastný mailový server. Exchange Online (Microsoft 365) nie je dotknutý.
Konkrétne ohrozené verzie: Exchange Server 2016 CU23, Exchange Server 2019 CU14/CU15 a Exchange Server SE RTM. Záplaty pre verzie 2016 a 2019 sú dostupné len zákazníkom zapojeným do programu Period 2 Extended Security Update (ESU).
Čo robiť
Microsoft vydal bezpečnostné aktualizácie 9. júna 2026 a odporúča ich nainštalovať čo najskôr. Pre prostredia, kde okamžitá inštalácia záplaty nie je možná, sú k dispozícii dočasné mitigácie:
- Exchange Emergency Mitigation (EM) Service — automaticky nasadzuje mitigáciu M2.1.x na podporovaných serveroch (predvolene zapnuté),
- Exchange On-Premises Mitigation Tool (EOMT) — PowerShell skript pre izolované alebo air-gapped prostredia.
Pozor: mitigácie fungujú na báze Content Security Policy (CSP) a nechránia používateľov pristupujúcich cez Internet Explorer alebo Edge v IE Mode. Dočasné mitigácie môžu tiež spôsobiť výpadok niektorých funkcií OWA — tlač kalendára, zobrazenie inline obrázkov či OWA Light.
Microsoft zároveň upozorňuje, že od júla 2026 prestanú EM a feature flighting služby prijímať nové konfigurácie, pokiaľ servery nebudú aktualizované aspoň na úroveň júna 2026.
