https://mymsk.online/posts/id118185-otkrytie-pisma-mozhet-privesti-k-atake-novaja-kriticheskaja-ujazvimost-exchange-uzhe-ispolzuetsja

Открытие письма может привести к атаке: новая критическая уязвимость Exchange уже используется

Microsoft предупредила о кибератаках с использованием уязвимости нулевого дня в Exchange Server

Открытие письма может привести к атаке: новая критическая уязвимость Exchange уже используется

Microsoft предупредила о кибератаках с использованием уязвимости нулевого дня в Exchange Server

2026-05-19T17:34+03:00

В мире

/html/head/meta[@name='og:title']/@content

/html/head/meta[@name='og:description']/@content

Microsoft предупредила о реальных кибератаках, эксплуатирующих свежую уязвимость нулевого дня CVE-2026-42897 в версиях Exchange Server для локальной установки. Проблема с оценкой CVSS 8.1 позволяет внедрять вредоносный JavaScript через электронные письма, не требуя доступа к серверу или учётной записи — жертве достаточно просто открыть сообщение в Outlook Web Access. Злоумышленники могут выполнять произвольный код в браузере пользователя. Об этом сообщает издание pepelac.news.По данным компании, атакам подвержены Exchange Server 2016, 2019 и Subscription Edition, тогда как облачный Exchange Online не входит в зону риска. Агентство по кибербезопасности и защите инфраструктуры (CISA) уже добавило CVE-2026-42897 в перечень активно используемых уязвимостей, обязав федеральные органы США устранить угрозу до 29 мая.На данный момент полноценного исправления не существует — Microsoft предлагает лишь временную меру через службу Exchange Emergency Mitigation Service (EEMS). Эта опция автоматически активирует защитные правила для серверов, однако у неё есть ощутимые побочные эффекты: отключение печати календаря и некорректное отображение встроенных изображений в OWA, а также поломка устаревшего интерфейса OWA Light. Разработка постоянного патча уже ведётся, но точные сроки пока не объявлены.Интересно, что уязвимость была обнаружена вскоре после майского Patch Tuesday, когда Microsoft исправила более 120 проблем, не упомянув данный zero-day. Компания не раскрывает, кто стоит за атаками и какие организации уже могли пострадать. Пользователям Exchange Server 2016 и 2019 полное обновление будет доступно только в рамках программы Extended Security Updates.

Моя Москва.онлайн

info@mymsk.online

Моя Москва.онлайн

115

2026

Александр Кондратьев

Новости

ru-RU

Моя Москва.онлайн

info@mymsk.online

Моя Москва.онлайн

115

Моя Москва.онлайн

info@mymsk.online

Моя Москва.онлайн

115

Александр Кондратьев

В мире

Открытие письма может привести к атаке: новая критическая уязвимость Exchange уже используется

Microsoft предупредила о кибератаках с использованием уязвимости нулевого дня в Exchange Server

Автор: Александр Кондратьев

19 мая 2026

По данным компании, атакам подвержены Exchange Server 2016, 2019 и Subscription Edition, тогда как облачный Exchange Online не входит в зону риска. Агентство по кибербезопасности и защите инфраструктуры (CISA) уже добавило CVE-2026-42897 в перечень активно используемых уязвимостей, обязав федеральные органы США устранить угрозу до 29 мая.

На данный момент полноценного исправления не существует — Microsoft предлагает лишь временную меру через службу Exchange Emergency Mitigation Service (EEMS). Эта опция автоматически активирует защитные правила для серверов, однако у неё есть ощутимые побочные эффекты: отключение печати календаря и некорректное отображение встроенных изображений в OWA, а также поломка устаревшего интерфейса OWA Light. Разработка постоянного патча уже ведётся, но точные сроки пока не объявлены.

Интересно, что уязвимость была обнаружена вскоре после майского Patch Tuesday, когда Microsoft исправила более 120 проблем, не упомянув данный zero-day. Компания не раскрывает, кто стоит за атаками и какие организации уже могли пострадать. Пользователям Exchange Server 2016 и 2019 полное обновление будет доступно только в рамках программы Extended Security Updates.

#уязвимость Exchange #CVE-2026-42897 #zero-day #кибератака #Microsoft #CISA #Exchange Server 2016 #Exchange Server 2019 #Subscription Edition #EEMS

Открытие письма может привести к атаке: новая критическая уязвимость Exchange уже используется

Microsoft предупредила о кибератаках с использованием уязвимости нулевого дня в Exchange Server

Актуальные темы:

Лучшее по теме: