Um exploit de prova de conceito foi publicado de forma pública para a vulnerabilidade CVE-2026-45502, uma falha de Server-Side Request Forgery (SSRF) no Microsoft Exchange Server que permite que qualquer usuário com caixa de correio force o servidor a fazer requisições HTTP para redes internas. A divulgação pública do PoC aumenta significativamente o risco de exploração ativa em organizações que ainda não aplicaram as correções de junho de 2026 disponibilizadas pela Microsoft.
Falha SSRF expõe redes internas
O Exchange Server é um dos alvos mais frequentes de grupos de ameaças avançados devido à sua posição central na infraestrutura corporativa. Quando um servidor Exchange é comprometido, o atacante ganha acesso privilegiado a caixas de correio, calendários, contatos e comunicações internas de toda a organização. A vulnerabilidade CVE-2026-45502 adiciona um novo vetor a esse cenário ao transformar o próprio Exchange em ferramenta de reconhecimento da rede interna, sem necessidade de acesso administrativo — basta uma caixa de correio válida.
Mecanismo da falha SSRF
A vulnerabilidade reside na operação InstallApp do serviço Exchange Web Services (EWS). Um usuário autenticado pode manipular o parâmetro ManifestUrl em uma chamada SOAP para forçar o servidor Exchange a realizar requisições HTTP para endpoints arbitrários — tanto em redes internas quanto externas — a partir da posição privilegiada do servidor na rede corporativa.
O problema central é um defeito de lógica na função SynchronousDownloadData.DownloadDataFromUri(), que processa URLs fornecidas pelo usuário sem validação adequada. Em implantações on-premise do Exchange, a verificação de proteção contra SSRF para endereços intranet depende de um flag isBposUser projetado para ambientes cloud, que permanece falso em implantações locais. Como resultado, toda a lógica de bloqueio de endereços internos fica desativada por padrão.
Isso transforma o Exchange em um proxy de rede capaz de acessar serviços HTTP internos, endpoints de metadados de nuvem como 169.254.169.254 (AWS/GCP/Azure IMDS), interfaces de gerenciamento de storage, APIs internas e outros recursos restritos que normalmente não seriam alcançáveis pelo atacante a partir de sua posição inicial na rede.
Embora o SSRF seja cego — não retorna o conteúdo da resposta diretamente ao atacante — informações como códigos de status HTTP, mensagens de erro e diferenças de tempo de resposta permitem mapear serviços internos e confirmar sua acessibilidade. Essa técnica de reconhecimento interno é frequentemente o primeiro passo em cadeias de exploração mais complexas.
Versões afetadas e patches públicos
| Versão do Exchange | Update Necessário | Status |
|---|---|---|
| Exchange Server 2016 CU23 | Security Update junho de 2026 | Vulnerável sem patch |
| Exchange Server 2019 CU14 | Security Update junho de 2026 | Vulnerável sem patch |
| Exchange Server 2019 CU15 | Security Update junho de 2026 | Vulnerável sem patch |
| Exchange Server Subscription RTM | KB5094139 (Patch Tuesday) | Vulnerável sem patch |
A Microsoft classificou a vulnerabilidade com CVSS 3.1 de 5.0 (médio), enquanto o CVSS 4.0 atribuiu nota 2.3 (baixo). A discrepância entre os scores reflete a limitação teórica do SSRF cego em ambientes controlados. Porém, o impacto real em configurações corporativas é significativamente maior: o reconhecimento interno possibilitado pela falha pode revelar endpoints para encadeamento com outras vulnerabilidades, e a publicação do PoC reduz drasticamente a barreira para exploração por grupos menos sofisticados. Em ambientes com múltiplos serviços expostos na rede interna, o SSRF permite identificar alvos para ataques em cadeia, transformando uma falha classificada como média em componente crítico de uma operação de comprometimento mais ampla.
A correção introduzida pela Microsoft na atualização KB5094139 substitui a lógica defeituosa do flag isBposUser por um modelo baseado em feature flags com ManifestUrlValidation habilitado para todas as implantações. A correção também implementa ManifestUrlCheck, uma allowlist que por padrão permite apenas autoridades confiáveis como officeclient.microsoft.com, com entradas configuráveis pelo administrador.
Como proteger o Exchange
Organizações que operam Exchange Server on-premise devem adotar múltiplas camadas de defesa para mitigar o risco enquanto aplicam patches ou caso não possam fazê-lo imediatamente. As medidas abaixo abordam prevenção, detecção e resposta para o vetor SSRF específico do CVE-2026-45502.
- Aplique os patches de junho de 2026 — a correção KB5094139 para Exchange Server Subscription Edition e as atualizações de segurança correspondentes para Exchange 2016 e 2019 eliminam o vetor de exploração. Verifique que o build do Exchange atinge ou supera as versões documentadas.
- Restrinja conectividade outbound dos servidores Exchange — bloqueie tráfego HTTP e HTTPS originário do Exchange para redes internas sensíveis, endpoints de metadados de nuvem (169.254.169.254) e redes de gestão. Use firewall ou NSGs para impor a restrição.
- Monitore tráfego EWS anômalo — configure alertas no SIEM para requisições SOAP contendo ManifestUrl apontando para IPs internos, ranges RFC1918 ou hosts externos não esperados. A operação InstallApp com parâmetros manipulados é indicador forte de exploração.
- Revise permissões de mailbox — minimize o número de contas com acesso à operação InstallApp no EWS e audite caixas de correio de serviço que possam ser usadas como vetor de acesso.
- Considere EDR no Exchange — implante soluções de detecção e resposta nos servidores Exchange para identificar atividade de proxy e movimentação lateral originária do serviço.
Fontes
- PoC Released for Microsoft Exchange Server EWS InstallApp SSRF Vulnerability — GBHackers, 24 de junho de 2026
- CVE-2026-45502 — Microsoft Security Response Center — Microsoft