A Microsoft divulgou medidas de mitigação para uma vulnerabilidade de alta gravidade no Exchange Server que permite a execução de código arbitrário. O problema, que está a ser explorado em ataques direcionados a utilizadores do Outlook na web, foi detalhado através do blog da comunidade técnica da Microsoft.
Identificada como CVE-2026-42897, esta falha de segurança afeta as versões atualizadas do Exchange Server 2016, 2019 e a Subscription Edition (SE). A vulnerabilidade é ativada quando um utilizador abre um e-mail manipulado no Outlook Web Access. Caso certas condições de interação sejam cumpridas, os atacantes conseguem executar JavaScript arbitrário no contexto do navegador através de cross-site scripting (XSS).
Soluções temporárias enquanto as atualizações não chegam
Embora ainda não existam atualizações definitivas para resolver a situação de forma permanente, a tecnológica garante que o serviço Exchange Emergency Mitigation Service (EEMS) fornecerá uma barreira automática para os servidores locais afetados. A recomendação principal para as organizações é assegurar que este serviço se encontra ativado, uma vez que é a via mais eficaz de proteger a infraestrutura de imediato.
Para os administradores que gerem servidores em ambientes isolados da internet (air-gapped), a solução passa por descarregar a versão mais recente da ferramenta Exchange on-premises Mitigation Tool (EOMT). Com esta opção, é possível aplicar as defesas necessárias executando um script específico na Exchange Management Shell (EMS) com privilégios elevados.
Planos para o futuro e suporte prolongado
A empresa planeia disponibilizar correções permanentes para o Exchange SE RTM, bem como para as versões 2016 (CU23) e 2019 (CU14 e CU15). No entanto, importa sublinhar que os patches para as edições de 2016 e 2019 estarão apenas acessíveis aos clientes inscritos no segundo período do programa de atualizações de segurança alargadas (ESU).
As versões de 2016 e 2019 chegaram ao fim do suporte oficial no passado mês de outubro. Poucas semanas após essa data, a Cybersecurity and Infrastructure Security Agency (CISA) e a National Security Agency (NSA) já tinham publicado diretrizes rigorosas para ajudar os administradores de sistemas a reforçarem as defesas destes servidores contra potenciais ameaças externas.
Nenhum comentário
Seja o primeiro!