Η Microsoft επιβεβαίωσε την ύπαρξη μιας νέας ευπάθειας μηδενικής ημέρας (zero-day) που επηρεάζει τις τοπικές (on-premises) εκδόσεις του Exchange Server και βρίσκεται ήδη υπό ενεργή εκμετάλλευση από χάκερ.
Η υπηρεσία CISA των ΗΠΑ πρόσθεσε μάλιστα το συγκεκριμένο κενό ασφαλείας, με κωδικό CVE-2026-42897, στον κατάλογο των γνωστών εκμεταλλεύσιμων ευπαθειών, καλώντας τους οργανισμούς να λάβουν άμεσα μέτρα προστασίας.
Τι είναι η ευπάθεια CVE-2026-42897
Η ευπάθεια εντοπίζεται στην υπηρεσία Outlook Web Access (OWA), την έκδοση του ηλεκτρονικού ταχυδρομείου μέσω προγράμματος περιήγησης. Τεχνικά, πρόκειται για ένα σφάλμα διασταυρούμενης αλλοίωσης ιστοσελίδων (cross-site scripting – XSS) που επιτρέπει σε έναν μη εξουσιοδοτημένο εισβολέα να πραγματοποιήσει επιθέσεις πλαστογράφησης (spoofing) μέσω του δικτύου.
Η διαδικασία της επίθεσης είναι εξαιρετικά απλή: ο επιτιθέμενος στέλνει ένα ειδικά διαμορφωμένο, κακόβουλο μήνυμα ηλεκτρονικού ταχυδρομείου. Εάν ο χρήστης ανοίξει αυτό το email μέσα από το περιβάλλον του Outlook Web Access, εκτελείται αυτόματα κακόβουλος κώδικας JavaScript στο πλαίσιο του προγράμματος περιήγησης, δίνοντας στους χάκερ πρόσβαση στις εταιρικές επικοινωνίες και τα διαπιστευτήρια.
Ποιες εκδόσεις επηρεάζονται
Η cloud υπηρεσία Exchange Online δεν επηρεάζεται από το πρόβλημα. Αντίθετα, ο κίνδυνος αφορά τις παρακάτω τοπικές εκδόσεις:
- Exchange Server 2016 (σε οποιοδήποτε επίπεδο ενημέρωσης)
- Exchange Server 2019 (σε οποιοδήποτε επίπεδο ενημέρωσης)
- Exchange Server Subscription Edition (SE) (σε οποιοδήποτε επίπεδο ενημέρωσης)
Άμεσα μέτρα αντιμετώπισης και προστασίας
Η Microsoft έχει ήδη κυκλοφορήσει μια προσωρινή λύση προστασίας μέσω της Υπηρεσίας Επείγουσας Άμβλυνσης του Exchange (Exchange Emergency Mitigation Service – EM Service). Η εταιρεία συνιστά στους διαχειριστές συστημάτων να βεβαιωθούν ότι η συγκεκριμένη υπηρεσία είναι ενεργοποιημένη, καθώς εφαρμόζει αυτόματα τους απαραίτητους κανόνες φραγής για την αποτροπή της εκμετάλλευσης.
Για τους οργανισμούς που έχουν απενεργοποιημένη την αυτόματη υπηρεσία, η Microsoft προτρέπει την άμεση ενεργοποίησή της ή τη χειροκίνητη εφαρμογή των μέτρων μέσω του ειδικού εργαλείου EOMT (Exchange on-premises Mitigation Tool) με τη χρήση PowerShell.
Παράλληλα, οι ειδικοί ασφαλείας τονίζουν ότι το συγκεκριμένο περιστατικό αναδεικνύει την ανάγκη ταχύτερης μετάβασης των επιχειρήσεων σε cloud υποδομές ή, τουλάχιστον, της απομόνωσης των τοπικών διακομιστών πίσω από πύλες ασφαλείας μηδενικής εμπιστοσύνης (zero-trust gateways).
