Zero-day ataca servidores Exchange
A Microsoft corrigiu na terça-feira de patches de junho de 2026 a vulnerabilidade CVE-2026-42897, uma falha de spoofing e XSS no Exchange Server que vinha sendo explorada ativamente por atacantes desde meados de maio. A falha afeta as edições Subscription Edition, 2016 e 2019 do Exchange e permite a execução remota de JavaScript no navegador da vítima por meio de um email especialmente elaborado, aberto via Outlook Web Access (OWA). A CISA adicionou a falha ao seu catálogo KEV em 15 de maio, dando às agências federais americanas o prazo de 29 de maio para aplicação das mitigações.
Como funciona o ataque
O vetor de ataque é direto: o atacante envia um email com conteúdo malicioso para um usuário do Exchange. Quando a mensagem é aberta no Outlook Web Access e determinadas condições de interação são atendidas, o JavaScript arbitrário é executado no contexto do navegador. Isso permite que o atacante roube cookies de sessão, redirecione o usuário a páginas de phishing ou capture credenciais de autenticação sem que a vítima perceba.
A Microsoft alertou sobre a exploração ativa em 14 de maio, quando liberou mitigações temporárias. O patch permanente foi lançado em 9 de junho como parte do Patch Tuesday que, com 208 CVEs, tornou-se o maior da história do programa desde 2003.
Exchange no histórico de ameaças
O Exchange Server tem sido um alvo recorrente de ataques sofisticados. Entre 2021 e 2023, a exploração de vulnerabilidades do Exchange disparou, com dezenas de falhas listadas no catálogo KEV da CISA. O ritmo diminuiu: nenhuma nova entrada foi adicionada em 2025, e a CVE-2026-42897 é a primeira de 2026. Apesar da redução, a gravidade permanece alta — servidores de email são pontos de entrada privilegiados para acesso a redes corporativas.
| Versão do Exchange | Afeta | Status do patch |
|---|---|---|
| Subscription Edition | Sim | Corrigido em 9/6/2026 |
| Exchange 2019 | Sim | Corrigido em 9/6/2026 |
| Exchange 2016 | Sim | Corrigido em 9/6/2026 |
O que fazer agora
Administradores de sistemas Exchange on-premise devem aplicar imediatamente as atualizações de segurança lançadas em 9 de junho. Se o patch ainda não puder ser instalado, as mitigações divulgadas pela Microsoft em 14 de maio oferecem proteção temporária. Equipes de segurança devem monitorar logs do OWA em busca de sessões anômalas e investigar emails com payloads JavaScript suspeitos. Para ambientes híbridos, verifique se o Exchange Online (nuvem) já está protegido automaticamente pela Microsoft.