Microsoft Exchange Server nolldag utnyttjad via manipulerad e-post

Microsoft bekräftade aktivt utnyttjande av CVE-2026-42897, en nolldag i lokal Exchange Server som gör det möjligt för angripare att köra godtycklig JavaScript i offrets webbläsare genom att skicka ett utformat e-postmeddelande. Det finns ingen permanent patch. Microsoft distribuerade en nödåtgärd den 14 maj, och CISA lade till felet i sin katalog över kända utnyttjade sårbarheter följande dag, vilket kräver att federala myndigheter åtgärdar senast den 29 maj. Exchange Online påverkas inte.

Vad CVE-2026-42897 gör

CVE-2026-42897 är en cross-site scripting-fel i Outlook Web Access-komponenten i lokal Microsoft Exchange Server, rankad CVSS 8.1. En angripare skickar ett speciellt utformat e-postmeddelande till ett mål. När mottagaren öppnar det i OWA under vissa interaktionsförhållanden körs godtycklig JavaScript inuti webbläsarsessionen.

Microsoft klassificerar sårbarheten som ett spoofing-problem som har sin grund i felaktig neutralisering av indata under generering av webbsidor. Attackvägen kräver inte autentisering eller serveråtkomst. Det börjar med en inkorg.

Vem påverkas

Felet träffar lokalt Exchange Server 2016, Exchange Server 2019 och Exchange Server Subscription Edition på vilken uppdateringsnivå som helst. Exchange Online är inte sårbart.

On-prem Exchange sitter i centrum för företags e-post för regeringar, finansinstitut och företag som inte har flyttat till molnet. CISA: s katalog över kända exploaterade sårbarheter listar nästan två dussin Exchange Server-brister redan, och ransomware-grupper har missbrukat flera av dem för att bryta mål. CVE-2026-42897 anlände bara två dagar efter majs Patch Tuesday, som patchade 120 sårbarheter men avslöjade inga nolldagar i sina releaseanteckningar.

Att mildra bristen

Microsoft distribuerade en tillfällig fix genom sin Exchange Emergency Mitigation Servicemärkt M2.1.x. EEMS tillämpar begränsningen automatiskt via URL-omskrivningskonfiguration på Exchange Mailbox-servrar där tjänsten är aktiverad som standard. Administratörer kan verifiera status med hjälp av Exchange Health Checker-skriptet på aka.ms/ExchangeHealthChecker.

För miljöer med luftgap eller frånkopplade miljöer där EEMS inte kan nå Microsofts servrar måste administratörer manuellt ladda ner det senaste Exchange On-premises Mitigation Tool och köra det via ett förhöjt Exchange Management Shell. Kommandot riktar sig till en enda server eller kan köras över hela Exchange-flottan på en gång.

Det finns ett kosmetiskt problem att vara medveten om. Vissa servrar kommer att visa begränsningsstatusen som "Begränsning ogiltig för denna Exchange-version" i beskrivningsfältet. Microsoft bekräftar att korrigeringen tillämpas korrekt i dessa fall om statuskolumnen visar "Applied". Texten som visas är en känd kosmetisk bugg som undersöks.

Bieffekter av korrigeringen

Tillämpningen av korrigeringen har funktionella konsekvenser. Funktionen OWA Print Calendar slutar fungera efter att korrigeringen har tillämpats. Inline-bilder visas inte längre korrekt i mottagarnas läsrutor i Outlook Web Access.

OWA Light, det äldre gränssnittet som nås via en URL som slutar med /?layout=light, slutar också att fungera efter att åtgärden har tillämpats. Microsoft avskaffade gränssnittet för flera år sedan och anser inte att det är produktionsfärdigt, men organisationer som fortfarande använder det måste istället dirigera användare via standard-URL: en för OWA.

Ingen permanent patch ännu

Microsoft utvecklar en permanent fix och har inte bekräftat en tidslinje för lansering. När den är tillgänglig kommer Exchange Server Subscription Edition att få den via standarduppdateringskanalen. Exchange Server 2016 och 2019 kommer endast att få den permanenta korrigeringen via Microsofts Period 2 Extended Security Update-program.

Organisationer som kör någon av de äldre versionerna utan ESU-registrering kommer att förbli utsatta tills de tillämpar nödbegränsningen manuellt. CISA lade till CVE-2026-42897 i katalogen Known Exploited Vulnerabilities den 15 maj och kräver att federala civila verkställande organ åtgärdar senast den 29 maj. Microsoft har inte identifierat hotaktörerna bakom de aktiva attackerna eller avslöjat vilka organisationer som angriparna riktade in sig på.

Tidpunkten för CVE-2026-42897 sitter i andra änden av sårbarhetslivscykeln från proaktiv upptäckt. Microsofts MDASH AI-modell identifierade nyligen 16 kritiska Windows-brister innan angripare kunde nå dem, en detekteringsmetod som CVE-2026-42897 kringgick helt.