Microsoft corrige vulnerabilidade explorada no Exchange Server

A Microsoft disponibilizou correções de segurança para uma vulnerabilidade no Exchange Server que estava a ser explorada ativamente por atacantes. A falha, identificada como CVE-2026-42897, afeta o Exchange Server Subscription Edition, Exchange Server 2016 e Exchange Server 2019.

A empresa já tinha alertado os utilizadores para a existência de ataques em curso a 14 de maio, altura em que disponibilizou medidas temporárias de mitigação. No dia seguinte, a CISA adicionou a vulnerabilidade ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), exigindo às agências federais norte-americanas a aplicação de medidas corretivas até 29 de maio.

A falha resulta de uma combinação de técnicas de spoofing e cross-site scripting (XSS). Segundo a Microsoft, um atacante pode explorar a vulnerabilidade através do envio de um email especialmente concebido para uma vítima.

“Um atacante pode explorar este problema ao enviar uma mensagem de correio eletrónico especialmente manipulada para um utilizador. Se o utilizador abrir a mensagem através do Outlook Web Access e determinadas condições de interação forem cumpridas, poderá ser executado código JavaScript arbitrário no contexto do navegador”, explica a empresa. A exploração bem-sucedida da vulnerabilidade pode permitir a execução de código malicioso na sessão do utilizador, abrindo caminho a ações não autorizadas e ao comprometimento de informação.

As correções foram disponibilizadas no âmbito da mais recente atualização de segurança da Microsoft, lançada a 9 de junho. A tecnológica recomenda a instalação imediata das atualizações para reduzir o risco de exploração.

A Microsoft revelou que teve conhecimento da vulnerabilidade através de um investigador que solicitou anonimato. Até ao momento, não foram divulgados detalhes sobre os autores dos ataques nem sobre os potenciais alvos das campanhas de exploração.

Os dados da CISA mostram que o Exchange Server foi um alvo frequente de exploração entre 2021 e 2023, período em que diversas vulnerabilidades da plataforma foram utilizadas em ataques à escala global. No entanto, a atividade tem vindo a diminuir nos últimos anos.

Atualmente, o catálogo KEV inclui cerca de duas dezenas de vulnerabilidades do Exchange Server. Em 2025 não foi adicionada nenhuma nova falha à lista e, em 2026, a CVE-2026-42897 é, até ao momento, a única vulnerabilidade da plataforma classificada como explorada ativamente.

Esta tendência sugere uma redução significativa da exploração do Exchange Server em comparação com os anos de maior atividade, embora a Microsoft continue a alertar para a importância da aplicação atempada das atualizações de segurança.