Zero-day no Exchange: risco real para empresas brasileiras

Patch para zero-day do Exchange

Desde 14 de maio de 2026, a Microsoft admite publicly que uma vulnerabilidade zero-day no Exchange Server está sendo explorada ativamente na natureza. O CVE-2026-42897 atinge o Outlook Web Access (OWA) — a interface web que milhões de profissionais usam diariamente para acessar e-mail corporativo. A gravidade não está só na pontuação CVSS 8.1, mas no fato de que não existe patch definitivo até o momento.

Em 15 de maio, a CISA incluiu o CVE na sua lista de vulnerabilidades exploradas ativamente (KEV), com prazo de correção fixado em 29 de maio para órgãos federais dos EUA. Para organizações brasileiras que rodam Exchange on-premise, o alerta é direto: se você ainda não agiu, está atrasado.

Como o ataque funciona na prática

O CVE-2026-42897 é uma falha de cross-site scripting (XSS) armazenada no OWA. O mecanismo é direto: um atacante envia um e-mail malicioso para a caixa de entrada da vítima. Quando essa pessoa abre a mensagem pelo navegador, o código JavaScript injetado é executado no contexto da sessão legítima do Exchange. Não é preciso clicar em link ou baixar anexo — basta abrir o e-mail. A partir desse ponto, o atacante pode:

• Roubar tokens de sessão e sequestrar a conta de e-mail;
• Ler, modificar e excluir mensagens sem que o usuário perceba;
• Encaminhar automaticamente e-mails para endereços controlados pelo criminoso;
• Servir como ponte para movimentação lateral dentro da rede corporativa;
• Disparar ataques de Business Email Compromise (BEC) com legitimidade total — o e-mail vem de dentro da organização.

O cenário de BEC é particularmente perigoso para empresas brasileiras. O atacante, controlando uma caixa de e-mail de um executivo ou do financeiro, pode aprovar transferências fraudulentas ou solicitar pagamentos a fornecedores falsos com credibilidade total., o Banco do Brasil registrou prejuízos na casa de bilhões com fraudes de BEC nos últimos anos, e uma vulnerabilidade como essa amplia drasticamente a superfície de ataque.

O detalhe mais preocupante: o ataque não exige autenticação prévia do atacante e funciona em qualquer versão do Exchange Server 2016, 2019 e Subscription Edition instalado localmente, conforme a documentação técnica da Hexnode e a análise da comunidade Veeam.

Versões afetadas e impacto

Todas as versões do Exchange Server on-premise estão na mira. Isso inclui:

• Exchange Server 2016 — qualquer nível de atualização;
• Exchange Server 2019 — qualquer nível de atualização;
• Exchange Server Subscription Edition — versões até a data da divulgação.

O Exchange Online (cloud, Microsoft 365) não é afetado. O problema é exclusivamente local. E é exatamente aí que mora o risco para o Brasil.

CISA classificou como prioridade federal

A inclusão na KEV da CISA coloca o CVE-2026-42897 no mesmo patamar de outras vulnerabilidades que geraram desastres, como os ProxyLogon e ProxyShell que devastaram milhares de servidores Exchange em 2021. A agência estabeleceu 29 de maio como prazo de remediação para agências federais americanas — um sinal claro da urgência.

Para organizações brasileiras, o caminho é seguir a mesma diretriz: tratar como prioridade máxima. Não é uma vulnerabilidade teórica — ela está sendo usada em ataques reais agora, conforme detalha a ficha oficial do NVD.

Mitigações disponíveis (sem patch)

Como a Microsoft ainda não lançou uma correção permanente, a empresa liberou duas ferramentas de mitigação que precisam ser aplicadas manualmente:

EEMS (Exchange Emergency Mitigation Service)

Para ambientes com o serviço EEMS ativo, a Microsoft deployou automaticamente a mitigação M2 em 14 de maio. Administradores precisam verificar se o EEMS está habilitado e se a mitigação M2 foi aplicada corretamente. Segundo relatos em fóruns de administração, alguns servidores reportaram que a mitigação falhou silenciosamente — verificação manual é obrigatória.

EOMT (Exchange On-premises Mitigation Tool)

Para ambientes onde o EEMS não está disponível, a Microsoft disponibilizou o EOMT, um script PowerShell que aplica a mesma mitigação M2. O script precisa ser executado com privilégios de administrador em cada servidor Exchange do ambiente.

Recomendações adicionais

• Restrinja o acesso OWA por IP ou VPN sempre que possível;
• Monitore logs do IIS e do Exchange por padrões de exploração XSS;
• Implemente regras de WAF (Web Application Firewall) para bloquear payloads XSS no caminho do OWA;
• Considere migrar para Exchange Online se a infraestrutura local não puder ser protegida adequadamente;
• Ative MFA (autenticação multifator) — não resolve o XSS, mas reduz o impacto de credenciais comprometidas.

O que fazer se foi comprometido

Se houver indícios de exploração — logs de acesso suspeitos no OWA, e-mails encaminhados sem autorização ou contas comportando de forma anômala — a resposta precisa ser imediata:

1. Isolar os servidores Exchange da rede, mantendo acesso apenas para análise forense;
2. Revogar todos os tokens de sessão ativos (o atacante pode manter sessões persistentes);
3. Forçar reset de senhas de todas as contas com acesso ao OWA;
4. Analisar as caixas de correio por regras de encaminhamento maliciosas criadas pelo atacante;
5. Notificar as equipes jurídica e de compliance — dependendo do setor, pode haver obrigação de notificar clientes e reguladores.

Referências

• Hexnode — Microsoft Exchange Vulnerability CVE-2026-42897: OWA Risk
• CISA — Adds One Known Exploited Vulnerability to Catalog (15/05/2026)
• NVD/NIST — CVE-2026-42897 Detail
• Help Net Security — Unpatched Microsoft Exchange Server Vulnerability Exploited
• SOC Prime — CVE-2026-42897: Exchange OWA Spoofing Flaw
• The Hacker News — On-Prem Microsoft Exchange Server CVE-2026-42897 Exploited