Июльский «В тренде VM»: уязвимость в Microsoft Exchange Server

от автора

Хабр, привет! На связи Александр Леонов, ведущий эксперт центра безопасности Positive Technologies (PT ESC) и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков регулярно смотрим на поток информации об уязвимостях из самых разных источников: бюллетени безопасности вендоров, соцсети, блоги, Telegram-каналы, репозитории кода, базы уязвимостей и эксплойтов. Из этого многообразия мы стараемся выделять самое важное – трендовые уязвимости, которые уже используются в реальных атаках или с высокой вероятностью будут эксплуатироваться в ближайшее время.

С прошлого дайджеста мы добавили еще одну трендовую уязвимость. Читайте подробности о ней ниже.

XSS-уязвимость в Microsoft Exchange Server

💥 PT-2026-40978 (CVE-2026-42897, оценка по CVSS — 8,1; высокий уровень опасности)

Уязвимость была исправлена 14 мая вне регулярных Microsoft Patch Tuesday. Неправильная нейтрализация входных данных при генерации веб-страницы (CWE-79, «межсайтовый скриптинг») в Microsoft Exchange Server позволяет неавторизованному злоумышленнику осуществить атаку с подменой (spoofing) по сети. Фактически это означает, что злоумышленник может отправить пользователю специально сформированное электронное письмо. Если пользователь откроет это письмо в Outlook Web Access (OWA) и будут выполнены определённые условия взаимодействия, произвольный JavaScript-код может быть выполнен в контексте браузера пользователя. В результате злоумышленник может получить контроль над почтовым ящиком пользователя, используя активную пользовательскую сессию.

Первоначально для устранения уязвимости предлагали использовать меры митигации, распространяемые через службу Exchange Emergency Mitigation (EM) или с помощью скрипта Exchange on-premises Mitigation Tool (EOMT). Обновления безопасности для Microsoft Exchange Server Subscription Edition RTM, а также Exchange Server 2016 и 2019, устраняющие уязвимость, были выпущены практически через месяц, 9 июня. Эксперты Microsoft рекомендовали оставить включёнными меры митигации и после установки патча, поскольку они обеспечивают дополнительный уровень защиты. Однако применение этих мер митигации может вызывать проблемы (например, ошибки при печати календаря и отображении изображений в OWA).

Признаки эксплуатации: Microsoft предупредила, что уязвимость уже использовалась в реальных атаках. CISA добавило уязвимость в каталог KEV. 

Публично доступные эксплойты: в открытом доступе опубликован PoC.

Количество потенциальных жертв: уязвимость затрагивает актуальные версии Exchange Server 2016, Exchange Server 2019 и Exchange Server Subscription Edition (SE). 

Способ устранения уязвимости: установить обновление безопасности, которое представлено на официальных страницах Microsoft. Также компания рекомендует оставить введенные ранее компенсирующие меры. Стоит отметить, что серверы Exchange Server 2016 и 2019, поддержка которых уже прекращена, остаются уязвимыми. Получить официальные обновления безопасности Microsoft, выпущенные в период с мая по октябрь 2026 года, смогут только клиенты, оформившие подписку на программу расширенной поддержки Period 2 Extended Security Update (ESU).

Как защититься

Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. Но не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации.

Узнавать об актуальных недостатках безопасности можно на странице трендовых уязвимостей и портале dbugs, в котором аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира, а также даны рекомендации вендоров по устранению пробелов в защите.

На этом всё. Увидимся в новом дайджесте трендовых уязвимостей через месяц.

Александр Леонов

Ведущий эксперт Expert Security Center Positive Technologies

ссылка на оригинал статьи https://habr.com/ru/articles/1058802/