Microsoft alerta para zero-day no Exchange Server

A Microsoft alertou para a exploração ativa de uma nova vulnerabilidade zero-day no Exchange Server, descoberta poucos dias após a divulgação das atualizações Patch Tuesday de maio.

A falha, identificada como CVE-2026-42897, afeta o Microsoft Exchange Server Subscription Edition, Exchange Server 2016 e Exchange Server 2019.

Segundo a Microsoft, trata-se de uma vulnerabilidade de spoofing e cross-site scripting (XSS) associada ao Outlook Web Access (OWA).

A empresa explica que o problema resulta de uma neutralização inadequada de input durante a geração de páginas web, permitindo a execução de código JavaScript arbitrário no contexto do browser da vítima.

A exploração pode ocorrer através do envio de emails especialmente manipulados para utilizadores do Exchange Server.

De acordo com a Microsoft, o ataque exige que o utilizador abra a mensagem através do Outlook Web Access e que determinadas condições de interação sejam cumpridas.

A tecnológica alerta que a vulnerabilidade já está a ser explorada em ambiente real, recomendando a aplicação imediata das medidas de mitigação disponibilizadas.

A divulgação da CVE-2026-42897 surgiu cerca de 48 horas após o Patch Tuesday de maio, atualização que corrigiu 137 vulnerabilidades mas que inicialmente não incluía qualquer zero-day conhecido.

A Microsoft não revelou detalhes adicionais sobre os grupos responsáveis pela exploração nem sobre a dimensão dos ataques observados até ao momento.

Especialistas de segurança alertam, no entanto, que servidores Exchange continuam a representar um alvo prioritário para atacantes devido ao acesso direto a email corporativo e credenciais organizacionais.