Microsoft heeft een nieuwe beveiligingskwetsbaarheid in on-premise versies van Exchange Server bekendgemaakt die momenteel actief wordt misbruikt. De kwetsbaarheid, geregistreerd als CVE-2026-42897 met een CVSS-score van 8.1, betreft een spoofing-probleem veroorzaakt door een cross-site scripting (XSS) fout. Een anonieme onderzoeker ontdekte en rapporteerde het beveiligingslek.

Volgens Microsoft ontstaat de kwetsbaarheid door een onjuiste neutralisatie van invoer tijdens het genereren van webpagina's in Exchange Server, waardoor een onbevoegde aanvaller spoofing kan uitvoeren binnen een netwerk. De aanval kan worden uitgevoerd door een speciaal opgemaakte e-mail te sturen die, wanneer deze wordt geopend in Outlook Web Access en aan bepaalde interactievoorwaarden voldoet, het uitvoeren van willekeurige JavaScript-code in de context van de webbrowser mogelijk maakt.

Microsoft heeft de kwetsbaarheid geclassificeerd met de status "Exploitation Detected" en biedt een tijdelijke oplossing via de Exchange Emergency Mitigation Service. Deze mitigatie wordt automatisch toegepast via een URL rewrite-configuratie en is standaard ingeschakeld. Indien dit niet het geval is, wordt aanbevolen de Windows-service handmatig te activeren.

De kwetsbaarheid treft de volgende on-premise Exchange Server versies: Exchange Server 2016, Exchange Server 2019 en Exchange Server Subscription Edition (SE), ongeacht het update-niveau. Exchange Online is niet kwetsbaar voor deze fout. Voor omgevingen waar de Emergency Mitigation Service niet kan worden gebruikt, bijvoorbeeld vanwege air-gap restricties, heeft Microsoft een mitigatietool beschikbaar gesteld die per server of voor alle servers tegelijk kan worden toegepast via de Exchange Management Shell.

Microsoft is op de hoogte van een cosmetisch probleem waarbij de mitigatie mogelijk de melding "Mitigation invalid for this exchange version" toont, maar benadrukt dat de mitigatie succesvol wordt toegepast als de status "Applied" aangeeft. Er zijn op dit moment geen details bekend over de wijze van exploitatie, de betrokken dreigingsactoren, de omvang van de aanvallen of de doelwitten. Totdat een definitieve patch beschikbaar is, wordt geadviseerd de door Microsoft aanbevolen mitigaties toe te passen.