Exchange Server on-prem volta ao radar com zero-day em exploração ativa
CVE-2026-42897 permite execução de JavaScript via email aberto no Outlook Web Access. CISA exigiu correção até 29 de maio. Falha afeta Exchange Server 2016, 2019 e Subscription Edition, mas não atinge Exchange Online.
A Microsoft confirmou nesta semana a exploração ativa da CVE-2026-42897, vulnerabilidade de cross-site scripting no Exchange Server on-premises divulgada em 15 de maio. A falha permite que um atacante envie um email especialmente formado que, ao ser aberto no Outlook Web Access sob certas condições de interação, executa JavaScript arbitrário no contexto do navegador da vítima.
A pontuação CVSS é 8.1, classificada como spoofing. A CISA adicionou a CVE ao catálogo Known Exploited Vulnerabilities no dia seguinte à divulgação, com prazo de 29 de maio para que agências federais apliquem mitigações.
Quem está exposto
A vulnerabilidade afeta todas as versões on-premises atualmente suportadas: Exchange Server 2016, Exchange Server 2019 e a recém-lançada Subscription Edition. Exchange Online, hospedado pela própria Microsoft, não é afetado. A distinção concentra o risco em organizações que mantiveram email corporativo em infraestrutura própria, frequentemente por motivos de soberania, custo ou requisitos regulatórios.
A correção definitiva ainda não foi publicada. A Microsoft recomenda ativar o Exchange Emergency Mitigation Service, habilitado por padrão em instalações atualizadas, ou aplicar manualmente o Exchange on-premises Mitigation Tool via PowerShell. Nenhuma das opções remove a vulnerabilidade; apenas reduz a superfície de ataque até que o patch oficial saia.
A continuidade do problema Exchange on-prem
O caso reforça um padrão observado desde a campanha Hafnium em 2021: servidores Exchange on-premises continuam sendo alvo prioritário em campanhas de espionagem e ataques direcionados. A Microsoft não divulgou nomes de atores envolvidos nem geografia das vítimas, postura habitual quando ainda existe atividade ofensiva mapeada.
Para times de segurança em consultorias e clientes corporativos, a pergunta operacional imediata é se mitigações temporárias estão de fato ativas em todos os servidores. A pergunta estratégica, mais antiga, segue a mesma: a equação custo-benefício de manter Exchange on-prem em 2026 ainda fecha, considerando o histórico de zero-days críticos do produto e a maturidade das ofertas hospedadas. Cada onda como esta empurra parte do mercado restante para migração, e fornecedores de serviços gerenciados têm aproveitado esses momentos para acelerar projetos de transição.