Microsoft предлагает обезопасить почту, отключив часть полезных функций Outlook.
Microsoft предупредила о новой уязвимости в Exchange Server, которая позволяет запустить вредоносный код через обычное письмо в веб-интерфейсе Outlook. Для атаки достаточно отправить специально подготовленное сообщение и дождаться, пока пользователь откроет письмо в Outlook Web Access.
Уязвимость получила идентификатор CVE-2026-42897. Проблема затрагивает локальные версии Exchange Server 2016, 2019 и Subscription Edition вне зависимости от установленного обновления. Облачный Exchange Online под угрозу не попал. После открытия письма в Outlook Web Access злоумышленник может добиться выполнения произвольного JavaScript-кода в браузере жертвы. Атака требует выполнения определенных действий со стороны пользователя, однако Microsoft пока не раскрывает технические детали.
Корпорация уже выпустила временную защиту через службу Exchange Emergency Mitigation Service. Система автоматически включается на серверах Exchange 2016, 2019 и SE, если администраторы ранее не отключали функцию экстренных мер. Microsoft рекомендует срочно активировать службу тем организациям, где механизм отключен.
Для изолированных инфраструктур и сетей без доступа в интернет компания подготовила отдельный сценарий через инструмент Exchange On-Premises Mitigation Tool. Скрипт позволяет применить защиту как на одном сервере, так и сразу на всех серверах Exchange в организации.
После установки защиты Microsoft предупреждает о нескольких сбоях. В Outlook Web Access может перестать работать печать календаря, некорректно отображаются встроенные изображения в письмах, а облегченная версия OWA с параметром «layout=light» работает с ошибками. Также администраторы могут столкнуться с ложными предупреждениями систем мониторинга Exchange.
Компания сообщила, что полноценное исправление находится в разработке. Обновления безопасности выпустят для Exchange SE RTM, Exchange 2016 CU23 и Exchange 2019 CU14/CU15. При этом исправления для Exchange 2016 и 2019 получат только клиенты с подпиской на расширенную программу поддержки ESU второго этапа. Первый этап программы завершился в апреле 2026 года.