Em 14 de maio de 2026, a Microsoft divulgou o CVE-2026-42897, uma vulnerabilidade de falsificação no Exchange Server local que afeta o Outlook Web Access. Em menos de 24 horas, a CISA o adicionou ao catálogo de Vulnerabilidades Conhecidas Exploradas. Em 15 dias, o prazo de remediação federal venceu. Até hoje, não existe uma correção definitiva.
O vetor de ataque é um e-mail.
O Que o CVE-2026-42897 Faz
A vulnerabilidade é uma falha de cross-site scripting (XSS) no componente OWA do Exchange Server. Sua pontuação CVSS é 8,1, classificando-a como alta gravidade. A cadeia de ataque é direta: um invasor envia um e-mail especialmente elaborado para um alvo que usa o Outlook Web Access para ler seus e-mails. Quando o alvo abre esse e-mail no OWA, o conteúdo malicioso dispara uma carga XSS que executa JavaScript arbitrário no contexto do navegador da vítima.
A partir dessa posição, um invasor pode realizar ações de falsificação contra o usuário dentro da interface do OWA: modificar o conteúdo exibido, capturar credenciais, redirecionar o usuário ou criar acesso persistente baseado no navegador sem precisar acessar o servidor de e-mail.
O Exchange Online não é afetado. A vulnerabilidade existe apenas em implantações locais: Exchange Server 2016, Exchange Server 2019 e Exchange Server Subscription Edition (SE).
Exploração Ativa Confirmada
A divulgação da Microsoft em 14 de maio veio acompanhada de uma admissão incomum: a vulnerabilidade já estava sendo explorada ativamente antes de o aviso ser publicado. A CISA respondeu no dia seguinte, adicionando o CVE-2026-42897 ao catálogo de Vulnerabilidades Conhecidas Exploradas e definindo 29 de maio como prazo para que as agências federais aplicassem as mitigações.
Esse prazo já passou. As agências federais que o cumpriram aplicaram a regra de emergência do EEMS (Exchange Emergency Mitigation Service), que a Microsoft enviou automaticamente para servidores Exchange com o serviço EM habilitado. Para organizações que desativaram o EEMS, cujos servidores não conseguem acessar a infraestrutura de mitigação da Microsoft por isolamento de rede, ou que executam versões anteriores ao mínimo necessário para mitigação automática, o servidor permanece sem correção.
A População em Risco
Em 2023, as implantações locais do Exchange representavam aproximadamente 16% das caixas de e-mail Exchange em todo o mundo. Esse número continuou caindo, mas ainda representa dezenas de milhares de organizações, principalmente empresas com requisitos regulatórios de residência de dados, agências governamentais que não podem colocar e-mail na nuvem e empresas que ainda não concluíram as migrações para o Microsoft 365.
Não são tipicamente organizações pequenas com equipes de segurança mínimas. Muitas são exatamente o tipo de alvos de alto valor que agentes de ameaças avançadas perseguem: entidades governamentais, escritórios jurídicos, sistemas de saúde, instituições financeiras e operadores de infraestrutura crítica. Uma vulnerabilidade de falsificação que chega ao OWA de um alto funcionário ou de um membro da equipe financeira lendo e-mails não é uma exposição de baixo risco.
Como a Camada de E-mail Se Intersecta Com Esta Vulnerabilidade
O CVE-2026-42897 exige que o invasor entregue um e-mail elaborado ao alvo. Esse e-mail precisa passar pelos filtros e verificações de autenticação que ficam entre a internet e a caixa de entrada da vítima.
É aqui que a aplicação do DMARC no lado receptor importa mais do que o resumo inicial sugere.
Invasores que exploram essa vulnerabilidade precisam de um mecanismo de entrega. Na prática, isso significa que e-mails falsificados se passando por um remetente confiável, como um administrador de TI, um executivo ou um parceiro externo, são as iscas mais eficazes. Um e-mail falsificado de “Atualização de Segurança de TI” vindo de [email protected] instruindo funcionários a clicar em um link e revisar um documento de política no OWA é um cenário de engenharia social plausível. Se o invasor falsificar um domínio com política DMARC p=reject, essa mensagem nunca chegará à caixa de entrada.
O DMARC não corrige a vulnerabilidade do OWA. Não impede que um invasor envie um e-mail elaborado a partir de um domínio que ele controla. Mas elimina o vetor de falsificação de maior confiança, aquele em que o invasor parece vir de dentro da organização ou de um domínio conhecido e confiável, antes que o e-mail chegue à infraestrutura vulnerável.
As organizações com maior risco de um cenário de exploração de alto impacto do CVE-2026-42897 são aquelas que executam o Exchange local sem a mitigação do EEMS aplicada e sem p=reject em seu domínio. A ausência de aplicação do DMARC significa que um invasor pode entregar e-mails de falsificação altamente convincentes a usuários que os abrem no OWA.
A Lacuna de Correção e o Que Ela Revela
A ausência de uma correção definitiva até a data desta publicação não é uma anomalia. As vulnerabilidades do Exchange Server têm um padrão de prazos de remediação estendidos. A mitigação automática do EEMS cobre os vetores de exploração mais comuns, mas o EEMS não é uma correção. É uma regra do lado do servidor que a Microsoft pode ativar e desativar remotamente, e não substitui a correção permanente do código que deve vir por meio de uma Atualização Cumulativa.
Para organizações com implantações Exchange isoladas da rede, o caminho de mitigação manual usando a Exchange On-premises Mitigation Tool (EOMT) é a opção disponível. A Microsoft documentou o procedimento por meio do Exchange Management Shell para ambientes que não conseguem se conectar ao serviço de mitigação.
A lição mais ampla é a mesma que emergiu de vulnerabilidades anteriores de dia zero no Exchange Server. A infraestrutura de e-mail local carrega uma obrigação contínua de aplicação de patches que as implantações em nuvem não têm. Cada novo CVE direcionado ao Exchange Server reinicia o contador. Cada reinício demonstra que o custo operacional de executar e-mail local não é apenas o investimento em infraestrutura, mas também o ônus de manutenção de segurança que vem com ele.
O Sinal da Migração para a Nuvem
A imunidade do Exchange Online ao CVE-2026-42897 não é coincidência. A infraestrutura de nuvem da Microsoft recebe atualizações de segurança continuamente sem expor o servidor subjacente a exploração. Uma organização que executa Exchange Online e Microsoft 365 não foi afetada por essa vulnerabilidade.
A vulnerabilidade é um ponto de dados em um argumento mais amplo que as equipes de CISO e liderança de TI têm debatido por vários anos. O e-mail na nuvem nem sempre é a escolha certa: requisitos de residência de dados, mandatos de isolamento de rede e estruturas de conformidade específicas legitimamente exigem infraestrutura local em alguns setores. Mas para organizações que ainda executam Exchange local sem uma razão regulatória específica, o CVE-2026-42897 é o mais recente de uma série de incidentes que levanta a questão de se o custo de segurança das implantações locais está sendo ponderado com precisão em relação ao custo de migração.
O Que os Defensores Devem Fazer Agora
Para organizações com Exchange Server local:
- Verificar se o EEMS está habilitado e se a mitigação automática para CVE-2026-42897 foi aplicada
- Se o EEMS não estiver disponível, aplicar a mitigação manual via EOMT ou Exchange Management Shell imediatamente
- Monitorar a Atualização Cumulativa que conterá a correção definitiva; aplicá-la quando disponível
- Revisar os logs de acesso ao OWA em busca de atividade anômala no período de maio a junho
- Considerar restringir o acesso ao OWA apenas para conexões VPN como controle compensatório durante o período de mitigação ativo
Para todas as organizações:
- Verificar se o domínio de envio principal tem uma política DMARC em
p=reject, nãop=none - Garantir que todos os serviços de terceiros que enviam e-mails pelo domínio estejam corretamente autenticados com DKIM e cobertos por SPF
- Executar o DMARC em
p=rejectno domínio elimina a capacidade dos invasores de usar a identidade confiável da organização como mecanismo de entrega para e-mails elaborados, seja o alvo executando Exchange OWA ou qualquer outro cliente de e-mail
O vetor de ataque do CVE-2026-42897 é um e-mail. Reduzir o que os invasores podem falsificar com esse e-mail está dentro do controle de qualquer organização, independentemente de executar Exchange, Microsoft 365 ou qualquer outra infraestrutura de e-mail.
O Excello Mail ajuda você a atingir e manter p=reject no seu domínio de envio, fechando o vetor de falsificação que torna os ataques de e-mail direcionados mais eficazes. Cadastre-se gratuitamente no Excello Mail e veja o panorama completo da sua postura de autenticação de e-mail.