Admin
Администратор
Microsoft предупредила о новой уязвимости в Exchange Server, которая позволяет злоумышленникам запускать вредоносный код через обычное письмо в веб-интерфейсе Outlook.
Уязвимость затрагивает локальные версии Exchange Server 2016, 2019 и Subscription Edition, но не затрагивает облачный Exchange Online.
Уязвимость получила идентификатор CVE-2026-42897. Для атаки достаточно отправить специально подготовленное письмо и дождаться, пока пользователь откроет его в Outlook Web Access. После этого злоумышленник может выполнить произвольный JavaScript-код в браузере жертвы. Microsoft уже выпустила временную защиту через службу Exchange Emergency Mitigation Service, которая автоматически включается на серверах Exchange 2016, 2019 и SE. Для изолированных инфраструктур доступен инструмент Exchange On-Premises Mitigation Tool. Полноценное исправление находится в разработке и будет выпущено для Exchange SE RTM, Exchange 2016 CU23 и Exchange 2019 CU14/CU15.
