Vulnerabilità CVE-2026-42897 in Microsoft Exchange Server on-premises

La CVE-2026-42897 rappresenta una delle vulnerabilità più critiche scoperte recentemente in Microsoft Exchange Server, con un punteggio CVSS di 8.1 che la classifica come ad alta severità. Questa falla di sicurezza, attualmente sfruttata attivamente da attaccanti, colpisce le implementazioni on-premises di Exchange Server e richiede un intervento immediato da parte degli amministratori di sistema.

Cos’è la vulnerabilità CVE-2026-42897

La CVE-2026-42897 è una vulnerabilità di tipo cross-site scripting (XSS) che affligge Microsoft Exchange Server nelle versioni on-premises. Il problema nasce da un’inadeguata neutralizzazione dell’input durante la generazione delle pagine web di Outlook Web Access (OWA), permettendo agli attaccanti di inserire ed eseguire codice JavaScript arbitrario.

Le caratteristiche principali di questa vulnerabilità includono:

• Classificazione come improper input neutralization durante la generazione di pagine web
• Vettore d’attacco attraverso la rete tramite OWA
• Non richiede privilegi amministrativi per essere sfruttata
• Impatto primario su spoofing e possibili attacchi di phishing

Versioni di Exchange Server interessate

La vulnerabilità colpisce specificamente le seguenti versioni di Microsoft Exchange Server:

• Exchange Server 2016 – tutte le versioni attualmente supportate
• Exchange Server 2019 – tutte le versioni in uso
• Exchange Server Subscription Edition – versioni più recenti

È importante sottolineare che le implementazioni cloud di Microsoft Exchange Online non sono affette da questa vulnerabilità, limitando l’esposizione alle sole installazioni on-premises.

Come funziona l’attacco

Gli attaccanti sfruttano questa vulnerabilità inviando email appositamente create che, quando visualizzate attraverso Outlook Web Access, eseguono codice JavaScript malevolo. Il meccanismo d’attacco si basa sui seguenti passaggi:

1. L’attaccante crea un’email con contenuto specificamente progettato per sfruttare la falla XSS
2. La vittima accede a Outlook Web Access e visualizza l’email compromessa
3. Il codice JavaScript malevolo viene eseguito nel browser della vittima
4. L’attaccante può implementare tecniche di spoofing o reindirizzare l’utente verso contenuti fraudolenti

Questo tipo di attacco è particolarmente insidioso perché non richiede privilegi speciali e può essere facilmente mascherato come comunicazione legittima.

Mitigazioni temporanee disponibili

Microsoft ha risposto rapidamente alla scoperta di questa vulnerabilità rilasciando mitigazioni temporanee attraverso l’Exchange Emergency Mitigation Service, identificate con il codice M2.1.x. Tuttavia, l’implementazione di queste contromisure comporta alcuni effetti collaterali significativi:

Limitazioni funzionali delle mitigazioni

• Problemi di stampa del calendario – funzionalità compromessa o non disponibile
• Visualizzazione delle immagini inline – difficoltà nella corretta visualizzazione in OWA
• Potenziali rallentamenti nelle prestazioni generali di Outlook Web Access

Implementazione per reti isolate

Per le organizzazioni che operano con reti air-gapped (completamente isolate da Internet), Microsoft ha fornito l’Exchange on-premises Mitigation Tool che deve essere applicato manualmente dagli amministratori di sistema.

Stato delle patch definitive e raccomandazioni

Attualmente, Microsoft sta sviluppando patch permanenti che risolveranno definitivamente la vulnerabilità. Tuttavia, ci sono considerazioni importanti riguardo la disponibilità di questi aggiornamenti:

Supporto per versioni legacy

Per le versioni più datate di Exchange Server 2016 e 2019, le patch definitive saranno disponibili esclusivamente attraverso il programma Extended Security Update (ESU) Period 2. Questo significa che le organizzazioni con installazioni legacy dovranno:

• Valutare l’iscrizione al programma ESU per continuare a ricevere supporto
• Considerare l’aggiornamento a versioni più recenti di Exchange Server
• Implementare controlli di sicurezza aggiuntivi per proteggere i sistemi non patchabili

Piano d’azione immediato

Gli amministratori dovrebbero implementare immediatamente le seguenti misure:

1. Verificare l’esposizione di Outlook Web Access alla rete pubblica
2. Applicare le mitigazioni temporanee fornite da Microsoft
3. Monitorare attivamente i log per identificare tentativi di sfruttamento
4. Educare gli utenti sui rischi di spoofing e phishing
5. Prepararsi all’installazione delle patch definitive non appena disponibili

La CVE-2026-42897 rappresenta una seria minaccia per le organizzazioni che utilizzano Microsoft Exchange Server on-premises. La natura attivamente sfruttata di questa vulnerabilità, combinata con il suo alto punteggio di severità, richiede un’azione immediata e coordinata. Mentre le mitigazioni temporanee offrono una protezione parziale, l’implementazione delle patch definitive rimane l’obiettivo prioritario per garantire la sicurezza a lungo termine dell’infrastruttura di posta elettronica aziendale.