В Exchange Server 2016, 2019 и SE обнаружена критическая уязвимость безопасности

Microsoft выпустила предупреждение, в соответствии с которому, в Exchange Server 2016, 2019 и SE обнаружена уязвимость безопасности. Она даёт возможность злоумышленнику выполнять произвольный код JavaScript в контексте браузера жертвы, отправляя ей специально созданное электронное письмо, которое необходимо открыть в Outlook Web Access (OWA) и взаимодействовать с ним определённым образом.

Уязвимость отслеживается как CVE-2026-42897 и имеет максимальный уровень серьёзности «критический».

На данный момент Microsoft предлагает два способа защиты. Начальный — рекомендуемый решение, требующий включения службы Exchange EM, которая автоматически нейтрализует этот вектор атаки. Важно отметить, что эта сервис была выпущена в сентябре 2021 года и включена по умолчанию. Второе решение предназначено для клиентов, которые отключили службу Exchange EM по какой-либо причине. Им рекомендуется применить процесс устранения проблемы с помощью скрипта.

Однако ни один из этих двух методов не является надёжным решением, поскольку они приведут к другим проблемам:

• функция печати календаря OWA может не работать. В качестве обходного пути нужно скопировать информация или сделать снимок экрана календаря, который нужно распечатать, либо применять настольный заказчик Outlook;

• встроенные изображения могут отображаться некорректно в области чтения OWA получателя. В качестве обходного пути нужно отправить изображения в качестве вложений электронной почты или использовать настольный клиент Outlook;

• облегчённая релиз OWA (/?layout=light) работает некорректно. Однако функция устарела несколько лет назад и не предназначена для регулярного использования в производственной среде.

Microsoft работает над надёжным исправлением. Exchange SE получит его в качестве общедоступного обновления, в то время как обновления для Exchange 2016 и 2019 будут предложены только клиентам, оплатившим второй период программы расширенных обновлений безопасности Exchange Server (ESU). Клиенты, оплатившие начальный период, не получат обновление, поскольку срок действия их программы истёк в апреле 2026 года. Пользователей Exchange Online эта уязвимость вообще не затрагивает.

В преддверии 30-летия сервиса Exchange Online Microsoft анонсировала планы по его серьёзному обновлению. Организация заявила, что сделает акцент на кибербезопасности. Она пообещала, что продукт будет поддерживаться как минимум до 2035 года в контексте Exchange Subscription Edition (SE).