Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Microsoft Exchange sotto attacco: CVE-2026-42897 sfruttata, OWA a rischio phishing e session hijack
Microsoft ha segnalato una nuova vulnerabilità di sicurezza che riguarda le installazioni on premises di Microsoft Exchange Server e che risulta già sfruttata attivamente in attacchi reali. La falla è tracciata come CVE 2026 42897 con punteggio CVSS 8.1 e viene classificata come problema di spoofing legato a una cross site scripting.
In pratica un aggressore può indurre l’utente a visualizzare contenuti falsificati e, in specifiche condizioni, arrivare a eseguire codice JavaScript nel contesto del browser.
Lo scenario di attacco descritto è particolarmente insidioso per chi utilizza Outlook Web Access. Un attaccante può inviare una email appositamente costruita e, quando il messaggio viene aperto via webmail e si verificano determinate interazioni, lo script malevolo può essere eseguito. Questo tipo di esecuzione nel browser può facilitare tecniche di phishing più credibili, furto di sessioni, manipolazione dell’interfaccia e altre azioni che sfruttano la fiducia dell’utente nel portale di posta aziendale. Anche se non sono stati diffusi dettagli completi su catena di exploit, attori coinvolti e bersagli, la presenza dell’indicazione exploitation detected rende urgente l’intervento.
Un elemento importante è che Exchange Online non risulta impattato. Il rischio riguarda invece le versioni on premises di Exchange Server 2016, Exchange Server 2019 e Exchange Server Subscription Edition, indipendentemente dal livello di aggiornamento. Per limitare l’esposizione, Microsoft sta distribuendo una mitigazione temporanea tramite Exchange Emergency Mitigation Service, un servizio pensato per applicare rapidamente contromisure senza attendere il rilascio della patch definitiva. La mitigazione viene applicata automaticamente tramite una configurazione di URL rewrite e il servizio risulta abilitato di default, ma è consigliato verificare che il servizio Windows sia effettivamente attivo.
Per ambienti con restrizioni air gap dove il servizio di mitigazione non è utilizzabile, è disponibile un percorso alternativo tramite Exchange On premises Mitigation Tool. Lo strumento può essere scaricato e lanciato da Exchange Management Shell con privilegi elevati, applicando la mitigazione su un singolo server o su tutti i server in modo centralizzato. È stato inoltre segnalato un messaggio cosmetico che può indicare mitigation invalid for this exchange version, ma se lo stato risulta applied la mitigazione dovrebbe essere operativa.