В Exchange Server 2016, 2019 и SE обнаружена критическая уязвимость безопасности

Microsoft выпустила предупреждение, согласно которому, в Exchange Server 2016, 2019 и SE обнаружена уязвимость безопасности. Она позволяет злоумышленнику выполнять произвольный код JavaScript в контексте браузера жертвы, отправляя ей специально созданное электронное письмо, которое необходимо открыть в Outlook Web Access (OWA) и взаимодействовать с ним определённым образом.

Уязвимость отслеживается как CVE-2026-42897 и имеет максимальный уровень серьёзности «критический».
На данный момент Microsoft предлагает два способа защиты. Первый — рекомендуемый подход, требующий включения службы Exchange EM, которая автоматически нейтрализует этот вектор атаки. Важно отметить, что эта служба была выпущена в сентябре 2021 года и включена по умолчанию. Второе решение предназначено для клиентов, которые отключили службу Exchange EM по какой-либо причине. Им рекомендуется применить процесс устранения проблемы с помощью скрипта.
Однако ни один из этих двух методов не является надёжным решением, поскольку они приведут к другим проблемам:

• функция печати календаря OWA может не работать. В качестве обходного пути нужно скопировать данные или сделать снимок экрана календаря, который нужно распечатать, либо использовать настольный клиент Outlook;
  
• встроенные изображения могут отображаться некорректно в области чтения OWA получателя. В качестве обходного пути нужно отправить изображения в качестве вложений электронной почты или использовать настольный клиент Outlook;
  
• облегчённая версия OWA (/?layout=light) работает некорректно. Однако функция устарела несколько лет назад и не предназначена для регулярного использования в производственной среде.

Microsoft работает над надёжным исправлением. Exchange SE получит его в качестве общедоступного обновления, в то время как обновления для Exchange 2016 и 2019 будут предложены только клиентам, оплатившим второй период программы расширенных обновлений безопасности Exchange Server (ESU). Клиенты, оплатившие первый период, не получат обновление, поскольку срок действия их программы истёк в апреле 2026 года. Пользователей Exchange Online эта уязвимость вообще не затрагивает.
В преддверии 30-летия сервиса Exchange Online Microsoft анонсировала планы по его серьёзному обновлению. Компания заявила, что сделает акцент на кибербезопасности. Она пообещала, что продукт будет поддерживаться как минимум до 2035 года в рамках Exchange Subscription Edition (SE). -Источник