Resumo da ameaça
A Microsoft liberou em junho de 2026 a correção definitiva para a vulnerabilidade zero-day CVE-2026-42897 no Exchange Server, uma falha de cross-site scripting (XSS) no Outlook Web Access que já estava sendo explorada ativamente por atacantes. A vulnerabilidade, com CVSS 8.1, permite a execução remota de JavaScript malicioso no navegador de qualquer usuário que abra um e-mail especialmente craftingado via OWA.
Como funciona a falha
A CVE-2026-42897 afeta o componente Outlook Web Access (OWA) das versões on-premise do Exchange Server 2016, 2019 e Subscription Edition. Um atacante remoto, sem necessidade de autenticação ou privilégios, envia um e-mail especialmente modificado para o alvo. Quando a vítima abre essa mensagem no OWA e determinadas condições de interação são atendidas, o JavaScript malicioso é executado no contexto do navegador do usuário.
Com isso, o atacante pode roubar cookies de sessão, redirecionar o usuário para páginas de phishing, ou realizar ações em nome da vítima dentro do OWA — como ler e-mails, enviar mensagens ou acessar contatos. A Microsoft havia reconhecido a exploração ativa em meados de maio e ativou uma mitigação temporária automática via Exchange Emergency Mitigation Service (EEMS), mas a correção definitiva só chegou com o Patch Tuesday de junho.
| Versão afetada | Status do patch | Severidade |
|---|---|---|
| Exchange Server 2016 | Corrigido em junho/2026 | Alta (CVSS 8.1) |
| Exchange Server 2019 | Corrigido em junho/2026 | Alta (CVSS 8.1) |
| Exchange Server SE | Corrigido em junho/2026 | Alta (CVSS 8.1) |
| Exchange Online (nuvem) | Não afetado | N/A |
Contexto e resposta
A CISA adicionou a CVE-2026-42897 ao seu catálogo de vulnerabilidades exploradas em 15 de maio, ordenando que agências do governo dos EUA aplicassem a correção em até duas semanas. Nos últimos cinco anos, a agência catalogou 20 vulnerabilidades do Exchange Server como exploradas na natureza — sendo 14 delas associadas a grupos de ransomware. Em outubro de 2025, após o fim do suporte ao Exchange 2016 e 2019, a CISA e a NSA publicaram orientações específicas para endurecer servidores Exchange contra ataques.
A Microsoft recomenda que administradores apliquem as atualizações de segurança de junho de 2026 imediatamente e mantenham as mitigações do EEMS ativas como camada adicional de proteção, mesmo após a instalação do patch. O histórico de ataques ao Exchange mostra que grupos de ransomware e APTs rapidamente incorporam novas vulnerabilidades aos seus playbooks.
O que fazer agora
- Instalar o Patch Tuesday de junho/2026 imediatamente em todos os servidores Exchange on-premise
- Manter as mitigações EEMS ativas mesmo após o patch, como camada extra de defesa
- Verificar logs OWA em busca de e-mails com conteúdo JavaScript suspeito nos últimos 30 dias
- Implementar WAF com regras anti-XSS na frente do Exchange para bloquear tentativas de injeção
- Considerar migração para Exchange Online — a versão em nuvem não é afetada por essa classe de vulnerabilidades on-premise
Fontes
- BleepingComputer — Microsoft patches Exchange Server zero-day exploited in attacks
- Dark Reading — Microsoft Exchange Zero-Day Under Attack
- Ciberseguranca.org — Zero-day no Exchange: risco real
- Ciberseguranca.org — Falha zero-click no Outlook hackeia PCs
O que observar agora
Para equipes de seguranca, o ponto principal em “Microsoft corrige zero-day no Exchange sob ataque ativo” e transformar o alerta em verificacao objetiva. Antes de assumir impacto, vale confirmar ativos expostos, versoes em uso, logs recentes e dependencias que possam ampliar o risco. Esse processo reduz ruido, evita pânico e ajuda a priorizar o que realmente precisa de resposta imediata.
Tambem e importante registrar evidencias. Guarde indicadores, horarios, sistemas afetados e decisoes tomadas durante a triagem. Mesmo quando o caso nao evolui para incidente, essa disciplina melhora a resposta futura e facilita explicar para lideranca por que uma acao foi tomada, adiada ou descartada.
Como medida pratica, revise backups, monitore autenticacoes incomuns, limite privilegios administrativos e confirme se alertas criticos chegam a alguem com autoridade para agir. A seguranca melhora quando noticias viram checklist operacional, nao apenas leitura passiva.
Para acompanhar “Microsoft corrige zero-day no Exchange sob ataque ativo” com rigor, a recomendacao e voltar ao tema quando houver novos indicadores confirmados, patches publicados ou exploracao ativa validada por fontes confiaveis. Ate la, a melhor postura e revisar superficie exposta, reduzir privilegios desnecessarios e manter telemetria suficiente para investigar sinais fracos antes que se tornem incidentes.
Para acompanhar “Microsoft corrige zero-day no Exchange sob ataque ativo” com rigor, a recomendacao e voltar ao tema quando houver novos indicadores confirmados, patches publicados ou exploracao ativa validada por fontes confiaveis. Ate la, a melhor postura e revisar superficie exposta, reduzir privilegios desnecessarios e manter telemetria suficiente para investigar sinais fracos antes que se tornem incidentes.