Aktívan kihasznált Microsoft OWA zero-day
A Microsoft és a CISA sürgős figyelmeztetést adott ki egy aktívan kihasznált Microsoft Exchange Server zero-day sérülékenység miatt. A CVE-2026-42897 azonosítójú hiba az Outlook Web Access komponensét érinti, és speciálisan kialakított e-mailekkel kihasználva távoli JavaScript-végrehajtást tehet lehetővé a felhasználó böngészőjében. A sérülékenység Exchange Server 2016, 2019 és Subscription Edition rendszereket érint, míg az Exchange Online nem sebezhető.
A támadás során támadó egy crafted e-mailt küld az áldozatnak, amelyet OWA felületen megnyitva cross-site scripting (XSS) jellegű kódfuttatás történhet. Bár a Microsoft spoofing kategóriába sorolta a hibát, a kutatók szerint a gyakorlatban account compromise, session hijacking és további vállalati kompromittálás is lehetséges lehet. A Microsoft már megerősítette, hogy a sérülékenységet aktívan kihasználják valós támadásokban.
Mivel végleges biztonsági frissítés még nem érhető el, a Microsoft az Exchange Emergency Mitigation Service (EEMS) azonnali engedélyezését javasolja. Az EEMS automatikusan URL Rewrite-alapú mitigációt telepít az érintett Exchange szerverekre. Azokban a környezetekben, ahol az EEMS nem használható – például air-gapped rendszereknél –, a Microsoft az Exchange On-premises Mitigation Tool (EOMT) manuális futtatását ajánlja.
A Microsoft szerint a mitigációk bizonyos OWA-funkciókat átmenetileg korlátozhatnak, például az inline képek vagy a naptárnyomtatás működését. A végleges javítás később érkezik Exchange SE, illetve ESU-támogatással rendelkező Exchange 2016/2019 rendszerekhez. A helyzet ismét rámutat arra, hogy az internet felé nyitott on-prem Exchange infrastruktúrák továbbra is kiemelt célpontjai az APT- és ransomware-műveleteknek.
