Exchange on-prem: XSS 0-day sfruttata, patch solo per alcuni

Microsoft conferma CVE-2026-42897 attivamente sfruttata su Exchange on-prem. CISA alert: mitigazioni obbligatorie, patch solo per chi ha Period 2 ESU.

Contenuto

Exchange on-prem: XSS 0-day sfruttata, patch solo per alcuni
Exchange on-prem: XSS 0-day sfruttata, patch solo per alcuni

Microsoft ha confermato il 14 maggio 2026 lo sfruttamento attivo in-the-wild della vulnerabilità CVE-2026-42897 sui server Exchange on-premise. La falla, classificata come cross-site scripting con un punteggio di 8.1 su 10 sulla scala CVSS, consente l'esecuzione di script malevoli nel browser della vittima tramite una email appositamente confezionata aperta in Outlook Web Access. La notizia assume contorni critici perché una patch permanente è in arrivo solo per i clienti iscritti al programma Period 2 Extended Security Updates, escludendo chi si è fermato al Period 1 scaduto ad aprile 2026.

Punti chiave
  • Microsoft ha etichettato la CVE-2026-42897 con lo status "Exploitation Detected": la falla XSS è attivamente sfruttata contro i server Exchange on-premise.
  • L'attacco si attiva via email appositamente confezionata aperta in Outlook Web Access, ma richiede il soddisfacimento di specifiche condizioni di interazione da parte dell'utente.
  • Le mitigazioni temporanee distribuite da Microsoft (EM Service con ID M2.1.x e script EOMT) degradano alcune funzioni di OWA, tra cui la stampa del calendario e le immagini inline.
  • La patch permanente sarà riservata ai soli clienti Period 2 ESU di Exchange 2016/2019; chi ha aderito solo al Period 1, scaduto ad aprile 2026, rimarrà senza aggiornamento strutturale.

Il vettore di attacco: XSS in Outlook Web Access

La vulnerabilità CVE-2026-42897 risiede nel componente Outlook Web Access delle installazioni on-premise di Exchange Server. È classificata secondo lo standard CWE-79 come cross-site scripting. Microsoft ha spiegato che un attaccante può inviare una email appositamente confezionata: se l'utente la apre in OWA e si verificano certe condizioni di interazione, nel browser della vittima viene eseguito JavaScript arbitrario nel contesto della sessione, con potenziale accesso a dati e funzioni autenticate.

Il punteggio CVSS è 8.1 su 10. Il vettore di attacco è di tipo network e richiede l'interazione dell'utente, come confermato dal qualificatore UI:R presente nel framework di valutazione. Non si tratta di un remote code execution sul server, bensì di un attacco client-side che sfrutta il browser della vittima. L'obiettivo primario documentato è lo spoofing, con potenziale abuso della sessione utente una volta eseguito il codice malevolo nel contesto della pagina.

Lo sfruttamento attivo è già stato rilevato e confermato da Microsoft. Secondo il riporto del Microsoft Security Response Center, citato da The Hacker News, la mancata neutralizzazione dell'input durante la generazione della pagina web consente a un attaccante non autorizzato di condurre spoofing sulla rete. Il database CIRCL registra ufficialmente lo status "Exploited: Yes", allineando i dati tecnici pubblici alla disclosure del vendor.

Dalla CISA l'allerta: exploitation confermata a livello nazionale

Il 14 maggio 2026 l'Agenzia statunitense per la cybersecurity e la sicurezza delle infrastrutture ha emesso un alert sulla vulnerabilità. Chris Butera, Acting Executive Assistant Director di CISA, ha dichiarato che l'agenzia sta monitorando attivamente la minaccia e mitigando l'impatto sui server Exchange on-premise. La posizione della CISA eleva il profilo dell'incidente da semplice advisory vendor a questione di sicurezza nazionale, spingendo le amministrazioni pubbliche e private a reagire con priorità.

L'intervento governativo non fornisce indicatori di compromissione o dettagli sull'identità degli attori minacciosi, elementi che rimangono al momento sconosciuti. Tuttavia, la convergenza tra la disclosure di Microsoft, lo status "Exploited: Yes" riportato nel database CIRCL e l'alert CISA traccia una linea chiara: la minaccia è immediata, concreta e non ipotetica. L'assenza di IoC non autorizza ritardi.

Mitigazioni temporanee in campo: EM Service ed EOMT

Microsoft ha distribuito una mitigazione automatica tramite Exchange Emergency Mitigation Service, servizio abilitato di default sulle versioni supportate di Exchange Server. L'identificativo della contromossa è M2.1.x. Il meccanismo agisce lato server per contrastare il vettore di attacco senza richiedere l'intervento manuale dell'amministratore, almeno negli ambienti che mantengono connettività verso i servizi Microsoft per il download delle regole.

Per le infrastrutture air-gapped o dove l'EM Service non è utilizzabile per policy interne, Microsoft ha reso disponibile lo script Exchange on-premises Mitigation Tool (EOMT). Entrambe le soluzioni sono temporanee: non sostituiscono una patch permanente, ma riducono la superficie di attacco esponibile fino al rilascio dell'aggiornamento definitivo, la cui data non è stata ancora annunciata.

L'applicazione delle mitigazioni comporta un degrado funzionale misurabile di Outlook Web Access. Tra i known issues documentati da Microsoft figurano il malfunzionamento della stampa del calendario, la visualizzazione errata delle immagini inline, l'impossibilità di utilizzare la modalità OWA Light e un messaggio cosmetico di errore sulla validità della mitigazione che appare anche quando lo status risulta correttamente applicato. Questi effetti collaterali sono il prezzo di una protezione immediata.

La spaccatura ESU: chi non riceverà la patch permanente

Microsoft ha confermato che la patch permanente è in sviluppo, ma per Exchange Server 2016 e 2019 sarà distribuita esclusivamente ai clienti iscritti al Period 2 Extended Security Updates. Chi ha aderito solo al Period 1 ESU è formalmente escluso, dato che quel programma è terminato ad aprile 2026. L'Exchange Team ha messo nero su bianco la linea di demarcazione, senza lasciare spazio a interpretazioni.

"Period 1 only ESU customers will not receive this update as that ESU program ended in April 2026." — Microsoft Exchange Team

Questa situazione trasforma il debito tecnico in rischio attivo e gestibile solo attraverso compromessi operativi. Le organizzazioni che mantengono Exchange 2016 o 2019 senza Period 2 ESU si trovano davanti a una scelta obbligata: convivere con mitigazioni temporanee che degradano l'esperienza utente, accelerare la migrazione verso Exchange Online o acquisire l'estensione di supporto necessaria per ricevere l'aggiornamento. Nessuna di queste opzioni è immediata o priva di costi.

Cosa fare adesso

Gli amministratori di sistemi devono agire ora. La vulnerabilità è sfruttata attivamente e non esiste patch permanente immediata per tutti. Ecco le azioni prioritarie.

  • Verificare immediatamente che l'Exchange Emergency Mitigation Service sia attivo e che la mitigazione M2.1.x risulti applicata. Controllare lo status nell'interfaccia di amministrazione o tramite i log operativi, confermando che il servizio abbia raggiunto i server.
  • Per gli ambienti air-gapped o con EM Service disabilitato, eseguire subito lo script EOMT su tutti i server Exchange on-premise affetti, prima che nuove campagne di attacco aumentino il volume di email malevole in circolazione.
  • Monitorare l'uso di Outlook Web Access alla ricerca di anomalie: sessioni sospette, accessi da fonti inattese o comportamenti di spoofing che possono derivare dall'esecuzione di JavaScript malevolo nel contesto del browser degli utenti.
  • Gli amministratori di Exchange 2016/2019 fuori Period 2 ESU devono pianificare l'upgrade o la sottoscrizione dell'estensione di supporto, oppure valutare la migrazione a Exchange Online, unica via per ricevere la patch permanente e uscire dalla gestione di vulnerabilità senza aggiornamento strutturale.

La vicenda CVE-2026-42897 non è solo un'altra falla da patchare. È la conferma che le scelte di lifecycle e di supporto legacy possono trasformarsi in vincoli operativi sotto pressione. Per una parte del parco installazioni on-premise, la sicurezza non è più una questione di aggiornamento, ma di migrazione forzata o di convivenza controllata con il rischio.

Cosa ancora non è chiaro

L'attacco può essere eseguito senza alcuna interazione da parte dell'utente?
No. Il vettore CVSS della CVE-2026-42897 indica UI:R (User Interaction Required). Microsoft specifica che l'utente deve aprire una email appositamente confezionata in Outlook Web Access e verificarsi determinate condizioni di interazione per innescare l'esecuzione dello script.
I server in ambienti air-gapped possono essere protetti?
Sì, ma non tramite il servizio automatico. È necessario scaricare e applicare manualmente lo script Exchange on-premises Mitigation Tool (EOMT) su ciascun server isolato, dato che l'EM Service richiede connettività ai server Microsoft.
Gli utenti di Exchange Online devono intervenire?
No. Exchange Online non è affetto dalla vulnerabilità. L'intervento è richiesto esclusivamente per le istanze on-premise di Exchange Server 2016 CU23, 2019 CU14/CU15 e Subscription Edition.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

Link utili

Apri l'articolo su DeafNews