CVE-2026-42897: Zero-day de XSS no Microsoft Exchange Server explorado ativamente — CISA KEV e patch de junho

<p>A Microsoft corrigiu em junho de 2026 a vulnerabilidade <strong>CVE-2026-42897</strong>, uma falha de <em>Cross-Site Scripting (XSS)</em> de alta severidade (<strong>CVSS 8.1</strong>) no Microsoft Exchange Server, que vinha sendo explorada ativamente desde maio de 2026.</p><h2>Produtos afetados</h2><ul><li>Exchange Server 2016 (todas as versões)</li><li>Exchange Server 2019 (todas as versões)</li><li>Exchange Server Subscription Edition (SE)</li><li><strong>Exchange Online NÃO é afetado</strong></li></ul><h2>Mecanismo de exploração</h2><p>Um atacante remoto sem autenticação pode enviar um e-mail especialmente construído para um usuário. Quando o destinatário abre o e-mail no <strong>Outlook Web Access (OWA)</strong>, código JavaScript arbitrário é executado no contexto do navegador — permitindo ataques de spoofing, roubo de sessão e potencial execução de código.</p><h2>Timeline e resposta</h2><ul><li><strong>14/05/2026</strong>: Microsoft divulga a vulnerabilidade sem patch disponível</li><li><strong>15/05/2026</strong>: CISA adiciona ao KEV; prazo de 14 dias para agências FCEB</li><li><strong>Maio/2026</strong>: Mitigação temporária via Exchange Emergency Mitigation Service (EEMS)</li><li><strong>09/06/2026</strong>: Patch definitivo lançado no Patch Tuesday de junho</li></ul><h2>Ações imediatas</h2><p>Organizações que rodam Exchange on-premises devem aplicar os Security Updates de junho imediatamente. Para Exchange 2016 e 2019, os patches estão disponíveis apenas para clientes no programa Period 2 Extended Security Update (ESU). Manter o EEMS habilitado fornece camada adicional de proteção. Nos últimos 5 anos, a CISA adicionou <strong>20 vulnerabilidades do Exchange</strong> ao KEV, com gangues de ransomware explorando 14 delas.</p>