MaxPatrol VM
Где находятся уязвимости в вашей инфраструктуре?
Недостаток безопасности затрагивает актуальные версии Exchange Server 2016, Exchange Server 2019 и Exchange Server Subscription Edition (SE)
Эксперты Positive Technologies отнесли к трендовой уязвимость в Outlook Web Access (OWA)1, позволяющую злоумышленнику красть конфиденциальные данные, а также выполнять действия от имени пользователя в веб‑интерфейсе Exchange.
Трендовыми уязвимостями называются наиболее опасные недостатки безопасности в инфраструктуре компаний, требующие оперативного устранения или принятия компенсирующих мер. Они либо уже активно эксплуатируются злоумышленниками, либо могут быть использованы ими в ближайшее время. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей и эксплойтов, бюллетеней безопасности вендоров, социальных сетей, блогов, Telegram-каналов, публичных репозиториев кода. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями MaxPatrol VM, в которую информация об угрозах поступает в течение 12 часов с момента их появления.
Недостаток безопасности PT‑2026‑40978 (CVE‑2026‑42897) связан с некорректной обработкой пользовательского ввода при генерации веб‑страниц в Outlook Web Access и позволяет злоумышленнику выполнить вредоносный JavaScript‑код в браузере.
Для эксплуатации уязвимости атакующему достаточно отправить специально сформированное письмо и вынудить жертву открыть его в OWA. В результате злоумышленник может получить контроль над почтовым ящиком, что позволит ему похищать конфиденциальные данные, а также выполнять действия от имени пользователя в веб-интерфейсе Exchange.
Чтобы защититься, необходимо установить обновление безопасности, которое представлено на официальных страницах Microsoft. Кроме того, вендор рекомендует оставить введенные ранее компенсирующие меры. Серверы Exchange 2016 и 2019, поддержка которых уже прекращена, остаются уязвимыми. Получить официальные обновления безопасности Microsoft, выпущенные с мая по октябрь 2026 года, смогут только клиенты, оформившие подписку на программу расширенной поддержки Period 2 Extended Security Update (ESU).
1 Outlook Web Access — это веб-клиент Microsoft Exchange Server, позволяющий получить доступ к корпоративной почте через браузер.