Microsoft heeft een zero-day kwetsbaarheid in Exchange Server bekendgemaakt die momenteel actief wordt misbruikt. De kwetsbaarheid, met CVE-2026-42897, betreft een spoofingprobleem dat het mogelijk maakt om via cross-site scripting (XSS) willekeurige code uit te voeren in de browser van gebruikers van Outlook on the web. Dit betreft de versies Exchange Server 2016, 2019 en Exchange Server Subscription Edition (SE).

Hoewel er nog geen patches beschikbaar zijn om de kwetsbaarheid definitief te verhelpen, heeft Microsoft mitigaties gedeeld. De Exchange Emergency Mitigation Service (EEMS) biedt automatische bescherming voor on-premises Exchange Server 2016, 2019 en SE. Volgens het Exchange Team kan een aanvaller deze kwetsbaarheid misbruiken door een speciaal vervaardigde e-mail te sturen. Wanneer een gebruiker deze e-mail opent in Outlook Web Access en aan bepaalde interactievoorwaarden wordt voldaan, kan er kwaadaardige JavaScript-code worden uitgevoerd in de browsercontext.

Microsoft adviseert organisaties om de EM Service direct in te schakelen als deze is uitgeschakeld. De service kan echter geen nieuwe mitigaties toepassen op servers die draaien op Exchange Server-versies ouder dan maart 2023. Voor omgevingen zonder internettoegang kunnen beheerders de nieuwste versie van de Exchange on-premises Mitigation Tool (EOMT) downloaden en de mitigatie toepassen via de Exchange Management Shell.

Microsoft werkt aan patches voor Exchange SE RTM, Exchange 2016 CU23 en Exchange Server 2019 CU14 en CU15. Updates voor Exchange 2016 en 2019 zijn echter alleen beschikbaar voor klanten die deelnemen aan het Period 2 Exchange Server ESU-programma. Eerder dit jaar, na het einde van de ondersteuning voor Exchange 2016 en 2019, publiceerden de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en de National Security Agency (NSA) richtlijnen om Exchange-servers beter te beveiligen tegen aanvallen.