Vulnerabilità zero-day Exchange Server: attacchi in corso

Microsoft ha confermato l’esistenza di un exploit che sfrutta la vulnerabilità zero-day CVE-2026-42897 di Exchange Server. I cybercriminali possono effettuare un attacco di spoofing ed eseguire codice arbitrario. In attesa della patch definitiva, l’azienda di Redmond ha pubblicato i dettagli di una soluzione temporanea.

Descrizione della vulnerabilità e rimedio provvisorio

Le versioni interessate sono Exchange Server 2016, Exchange Server 2019 e Exchange Server Subscription Edition (SE) on-premises (installazione locale). La vulnerabilità zero-day viene attivamente sfruttata per attacchi di spoofing. I cybercriminali falsificano in pratica la propria identità per ingannare le vittime. In dettaglio, il problema di sicurezza è dovuto alla neutralizzazione impropria degli input durante la generazione di pagine web (cross-site scripting) in Exchange Server.

I cybercriminali devono solo inviare un’email creata ad hoc all’utente. Se viene aperta in Outlook Web Access e sono soddisfatte determinate condizioni di interazione è possibile eseguire codice JavaScript arbitrario nel contesto del browser. La soluzione temporanea suggerita è utilizzare Exchange Emergency Mitigation Service (che dovrebbe essere attivo per impostazione predefinita), attraverso il quale è già disponibile la mitigazione.

Il servizio, introdotto a settembre 2021, fornisce una protezione automatizzata per i server Exchange locali, applicando misure di mitigazione temporanee per le vulnerabilità ad alto rischio e già attivamente sfruttate, come in questo caso. È stata aggiunta in seguito alle famose vulnerabilità ProxyLogon e ProxyShell del 2021.

Per i server Exchange non connessi ad Internet è disponibile un tool che consente l’applicazione manuale della mitigazione (uno script PowerShell). Microsoft avverte però che potrebbero verificarsi alcuni problemi, tra cui l’impossibilità di stampare i calendari e di vedere le immagini inline nel pannello di lettura di Outlook Web Access.

La patch definitiva sarà disponibile per Exchange SE RTM, Exchange 2016 CU23 e Exchange Server 2019 CU14/CU15. Quelle per le versioni 2016/2019 (non più supportate) saranno disponibili solo ai clienti iscritti al Period 2 del programma ESU (Extended Security Update).