Exchange zero-day attivo: XSS in OWA senza patch disponibile
Microsoft conferma CVE-2026-42897: zero-day XSS in Exchange on-premise sotto attacco attivo, senza patch. CISA impone mitigazioni entro il 29 maggio.
Contenuto
Microsoft ha divulgato il 14 maggio 2026 la vulnerabilità zero-day CVE-2026-42897 nei server Exchange on-premise. La falla, un cross-site scripting nel componente Outlook Web Access, è attivamente sfruttata e non ha ancora ricevuto una patch permanente. L’assenza di un fix definitivo e l’inserimento nella lista KEV da parte di CISA il giorno successivo impongono alle organizzazioni l’attivazione immediata delle mitigazioni temporanee.
- Microsoft ha reso nota il 14 maggio 2026 la zero-day CVE-2026-42897 in Exchange Server on-premise, attivamente sfruttata tramite XSS in Outlook Web Access.
- Non esiste una patch permanente; sono disponibili solo mitigazioni temporanee tramite Exchange Emergency Mitigation Service (EEMS) e Exchange On-premises Mitigation Tool (EOMT).
- CISA ha inserito la vulnerabilità nel catalogo Known Exploited Vulnerabilities il 15 maggio 2026, con scadenza per le agenzie federali fissata al 29 maggio 2026.
- L’impatto principale è il compromesso della singola mailbox, con furto di session token, lettura di email e invio di messaggi con l’identità della vittima, piuttosto che il controllo del server.
Un XSS in OWA che svuota la mailbox
La vulnerabilità risiede nel componente Outlook Web Access delle installazioni on-premise. Secondo l’advisory di Microsoft, riportato da Dark Reading, un attaccante può inviare un’email appositamente costruita: se la vittima la apre in OWA e si verificano determinate condizioni di interazione, il browser esegue JavaScript arbitrario nel contesto della pagina.
Il codice maligno agisce nella sessione dell’utente senza richiedere privilegi amministrativi né l’installazione di malware sul client. Una volta eseguito il payload, l’attaccante può rubare token, leggere la corrispondenza o inviare messaggi con l’identità della vittima, rendendo difficile il rilevamento da parte dei sistemi di protezione endpoint tradizionali. Il risultato è un accesso silenzioso alla mailbox, potenzialmente utilizzabile come trampolino per campagne di Business Email Compromise.
La valutazione del rischio spacca: CVSS 8.1 contro 6.1
La severità del bug genera un disallineamento tra gli enti di valutazione. Microsoft assegna un punteggio CVSS di 8.1, mentre il National Vulnerability Database del NIST lo quota a 6.1. La divergenza non è meramente accademica: influenza le priorità di remediation nelle aziende e il tempo di reazione dei team di sicurezza.
Nelle pratiche di vulnerability management aziendale, un delta di due punti sulla scala CVSS può significare la differenza tra un intervento nel weekend e uno rimandato al ciclo successivo. Dato che la vulnerabilità è già sotto attacco attivo, come confermato dal tag Exploitation Detected applicato da Microsoft, qualsiasi ritardo aumenta la probabilità di compromissione. Le difese perimetrali non bastano: il vettore è l’utente che legge la posta.
CISA inserisce la falla nel KEV: scadenza 29 maggio
Il 15 maggio 2026 CISA ha aggiunto CVE-2026-42897 al catalogo Known Exploited Vulnerabilities. L’agenzia ha fissato al 29 maggio 2026 il termine per l’applicazione delle mitigazioni obbligatorie da parte delle agenzie federali appartenenti alla Federal Civilian Executive Branch. L’inserimento nel KEV conferma che la minaccia è passata dalla teoria all’osservazione sul campo.
Per le aziende private, l’azione di CISA non è vincolante ma costituisce un indicatore di gravità oggettivo. La presenza nel catalogo KEV segnala che la vulnerabilità è stata osservata in exploit reali, non solo dimostrati in laboratorio. Questo elemento spinge molte organizzazioni a rivedere le proprie priorità di patching, specialmente quando il vendor ammette l’assenza di un fix permanente.
"isn't server compromise. It's mailbox compromise — reading mail, sending emails as the victim, stealing session tokens, planting forwarding rules that survive password resets." — Bogdan Tiron, founder di Fortbridge (via Dark Reading)
EEMS ed EOMT: le mitigazioni temporanee di Microsoft
In attesa di un fix permanente, Microsoft ha rilasciato contromosse temporanee. L’Exchange Emergency Mitigation Service può distribuire automaticamente regole di mitigazione ai server compatibili, mentre l’Exchange On-premises Mitigation Tool offre un metodo manuale per gli ambienti che non supportano il servizio automatico. Entrambe le soluzioni bloccano il vettore di attacco noto senza correggere la radice del problema.
L’affidamento a strumenti esterni alla patch vera e propria introduce un fattore di rischio operativo. Gli amministratori devono verificare che i server ricevano correttamente gli update EEMS e che l’EOMT sia eseguito con i permessi adeguati. Inoltre, queste contromisure potrebbero avere effetti collaterali sul funzionamento di OWA che vanno monitorati. L’assenza di una timeline certa per il fix definitivo lascia gli on-premise in una condizione di incertezza protratta.
Cosa fare adesso
- Attivare EEMS ed EOMT: Distribuire immediatamente le mitigazioni temporanee su tutti i server Exchange on-premise affetti, seguendo le procedure indicate nell’advisory Microsoft. L’applicazione manuale tramite EOMT rimane l’unica via per gli ambienti non gestiti dal servizio automatico.
- Verificare le regole di posta e inoltro: Ispezionare le configurazioni OWA di ogni utente alla ricerca di regole di forwarding o di elaborazione messaggi non autorizzate. Una regola impiantata durante la compromissione sopravvive al cambio password e può continuare a esfiltrare dati.
- Monitorare la sessione e l’accesso: Rivedere i log di accesso a Outlook Web Access per identificare autenticazioni anomale o posizioni geografiche inusuali, segno di token di sessione già compromessi.
- Pianificare il passaggio alla patch definitiva: Le mitigazioni sono provvisorie. I team di infrastruttura devono tenere sotto osservazione i canali Microsoft per il rilascio del fix permanente e schedulare l’applicazione non appena disponibile.
Nel 2026, un cross-site scripting nel client web di una piattaforma enterprise simboleggia un paradosso: le tecniche d’attacco considerate entry-level restano efficaci perché il perimetro on-premise accumula complessità senza equivalente agilità di remediation. La vicenda di CVE-2026-42897 mette in luce una frattura sistemica: mentre i servizi cloud ricevono fix trasparenti e centralizzati, le organizzazioni che mantengono Exchange in casa devono correre con mitigazioni manuali, regola per regola, sessione per sessione.
Domande frequenti
- Quali versioni di Exchange sono effettivamente coinvolte?
- La vulnerabilità interessa Exchange Server 2016, 2019 e Subscription Edition installati on-premise. Exchange Online, la versione cloud gestita da Microsoft, non è affetta.
- Perché CISA ha imposto una scadenza al 29 maggio?
- L’agenzia ha incluso la falla nel catalogo KEV il 15 maggio 2026 in risposta all’attività di exploitation già confermata. Le agenzie federali devono applicare le mitigazioni entro quella data per ridurre la superficie di attacco governativa.
- La mitigazione EOMT è sufficiente a risolvere il problema?
- No. EEMS ed EOMT bloccano il vettore di attacco noto ma non correggono la vulnerabilità sottostante. È necessario attendere e applicare la patch permanente non appena Microsoft la rilascerà, oltre a verificare che le mailbox non siano già state compromesse.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://www.darkreading.com/vulnerabilities-threats/microsoft-exchange-zero-day-no-patch
- https://thehackernews.com/2026/05/on-prem-microsoft-exchange-server-cve.html
- https://thehackernews.com/2026/05/weekly-recap-exchange-0-day-npm-worm.html
- https://therecord.media/cisa-orders-all-federal-agencies-to-patch-cisco-sd-wan-bug
- https://thehackernews.com/2026/05/android-adds-intrusion-logging-for.html
- https://www.schneier.com/blog/archives/2026/05/zero-day-exploit-against-windows-bitlocker.html