Patch Tuesday fecha falha de Exchange explorada na natureza e SAP corrige SAML com CVSS 9,9
Microsoft entrega correção definitiva para CVE-2026-42897, falha de XSS em Outlook Web Access explorada desde meados de maio, no mesmo dia em que SAP fecha vulnerabilidade SAML crítica.
A janela de exposição do Exchange durou 26 dias
A Microsoft liberou nesta terça-feira o Patch Tuesday de junho, e a peça mais urgente do pacote é a correção definitiva para CVE-2026-42897. A vulnerabilidade afeta Exchange Server 2016, 2019 e Subscription Edition em deploys on-premises e foi divulgada em 14 de maio, dois dias depois do Patch Tuesday de maio. Desde então, atacantes a exploram na natureza.
A falha é um cross-site scripting no Outlook Web Access. O atacante envia e-mail com payload específico e, quando o destinatário abre a mensagem em OWA, o código executa no navegador da vítima com privilégios da sessão Exchange. Microsoft 365 e Exchange Online não estão afetados; o problema é exclusivo do on-premises. O Exchange Emergency Mitigation Service, ativo por padrão, vinha provendo containment automático nas últimas três semanas, mas a empresa confirma que apenas a atualização desta terça encerra o vetor.
Em paralelo, a SAP divulgou seu próprio Security Patch Day com quinze notas. A mais crítica é CVE-2026-44748, fraqueza de signature wrapping em XML SAML que recebeu CVSS 9,9. Um atacante autenticado com privilégios ordinários consegue obter mensagem assinada válida, o que abre caminho para impersonação em sistemas que confiam em assertions SAML. A SAP também corrigiu CVE-2026-27671, corrupção de memória no kernel ABAP do Application Server explorável sem autenticação por requisição RFC malformada.
O alvo é o backbone corporativo
A combinação dos três CVEs incomoda exatamente onde dói. Exchange on-premises ainda hospeda e-mail e calendário de bancos, escritórios de advocacia, hospitais e governos que postergaram a migração para Microsoft 365 por razões de soberania de dados ou contrato legado. SAP S/4HANA e os módulos ECC tradicionais sustentam ERPs de quase todos os Fortune 500. Um signature wrapping em SAML quebra a confiança entre módulos federados, que é exatamente o vetor que invasores procuram em ambientes nos quais Active Directory e SAP IdP rodam em paralelo.
Para o CISO, há dois prazos paralelos para administrar nesta semana. O patch do Exchange precisa entrar antes que os agentes que já exploram CVE-2026-42897 percebam o fim da janela de mitigação e acelerem a campanha. O patch SAP, por sua vez, demanda janela de manutenção mais demorada por causa do impacto em produção. As notas do Application Server ABAP exigem teste de regressão antes de aplicar em ambientes Tier 1, e a natureza não autenticada da CVE-2026-27671 pressiona pelo deploy rápido.
Dois mercados que precisam coordenar resposta
A combinação importa mais em geografias com base instalada relevante de Exchange on-premises e SAP. Alemanha está exposta nos dois eixos: o BSI, autoridade federal de segurança, historicamente recomenda cautela na migração de e-mail para cloud em setores como saúde e órgãos federais, e a base SAP alemã é a maior do mundo por receita do fornecedor. Japão tem perfil parecido em manufatura e finanças, com Mizuho e MUFG operando S/4HANA em ambientes híbridos que combinam SAP e Exchange on-premises para segregação regulatória.
O Brasil entra pelo flanco bancário e de governo. A base SAP em grandes bancos e operações de telecom locais é uma das mais profundas da América Latina, e a parcela de Exchange on-premises em órgãos federais e tribunais segue acima da média global. A combinação dos três CVEs em um único Patch Tuesday força CIO e CISO a redesenhar o ranking de janela de manutenção para a próxima quinzena, com Active Directory e SAP IdP no topo da lista.
O detalhe que ainda não tem dono
A Microsoft, em comunicado, não atribuiu a campanha de exploração do CVE-2026-42897 a um ator específico. CISA e o NCSC britânico também não publicaram alerta de atribuição até o fechamento desta matéria. O silêncio sugere que a investigação ainda corre e que as agências preferem não comprometer a coleta antes do patch ser deployado em massa. Para o time de detecção, vale assumir hipótese mais cara: o exploit já está empacotado em frameworks comerciais de offensive security e vai aparecer em campanhas oportunistas nos próximos dez dias.