Microsoft ha distribuito il 9 giugno 2026 la patch permanente per CVE-2026-42897, una vulnerabilità zero-day cross-site scripting nel componente Outlook Web Access di Exchange Server attivamente sfruttata da almeno metà maggio. L'aggiornamento del Patch Tuesday chiude il vettore, ma l'azienda raccomanda esplicitamente di mantenere attiva anche la mitigazione temporanea EEMS rilasciata un mese fa.
- CVE-2026-42897 ha CVSS 8.1 HIGH con exploitation in-the-wild confermata: impact C:H/I:H/A:N, vettore XSS in OWA con "certain interaction conditions"
- Prodotti affetti: Exchange Server 2016, 2019 e Subscription Edition (SE); Exchange Online non risulta coinvolto
- Microsoft ha rilasciato mitigazione EEMS a metà maggio 2026, poi patch permanente il 9 giugno; entrambe restano raccomandate simultaneamente
- Internet Explorer e Edge in IE Mode bypassano la protezione EEMS perché non supportano Content Security Policy, lasciando esposti gli ambienti legacy
Il meccanismo: come un'email diventa esecuzione di codice
La vulnerabilità risiede nel rendering engine di OWA. Secondo l'advisory Microsoft, "an attacker could exploit this issue by sending a specially crafted email to a user": il payload JavaScript, non sufficientemente sanificato, viene eseguito nel browser context della vittima all'apertura del messaggio, a patto che si verifichino le "certain interaction conditions" citate nella documentazione ufficiale.
Il vettore è puramente client-side. L'impatto è classificato C:H/I:H, totale perdita di confidenzialità e integrità nel contesto della sessione. Il JavaScript arbitrario opera con i privilegi della pagina OWA autenticata. L'assenza di impatto sulla disponibilità (A:N nel CVSS vector) non mitiga il danno: una sessione compromessa su OWA spesso equivale a accesso completo alla cassetta postale.
Dalla mitigazione di emergenza alla patch: cronologia di un mese sotto pressione
Microsoft ha attivato la prima linea di difesa a metà maggio 2026 tramite Exchange Emergency Mitigation Service (EEMS), distribuendo automaticamente una mitigazione basata su Content Security Policy che blocca l'esecuzione del payload malevolo. Il 15 maggio CISA ha inserito CVE-2026-42897 nel Known Exploited Vulnerabilities catalog, impostando la scadenza di patching al 29 maggio per le agenzie federali statunitensi.
Il Patch Tuesday di giugno ha chiuso il cerchio con gli aggiornamenti ufficiali. Tuttavia, la raccomandazione di Microsoft è ibrida: "We recommend that customers keep the mitigation described in place. The mitigation provides an additional layer of defense and helps ensure continuous protection as further improvements are released".
"Microsoft recommends installing the June 2026 Security Updates for your version of Exchange Server as soon as possible to be protected from this vulnerability" — Exchange Team/Microsoft
Il buco nero dei browser legacy: IE Mode lascia scoperta la porta
La mitigazione EEMS si fonda su Content Security Policy, meccanismo che Internet Explorer e Microsoft Edge in IE Mode non implementano. La FAQ ufficiale MSRC è senza ambiguità: "No, because Content Security Policy (CSP) is not supported by Internet Explorer nor Microsoft Edge using Internet Explorer Mode. To stay protected, please make sure to not use Internet Explorer (Mode) to access OWA".
Questa è una linea di frattura operativa spesso trascurata. Numerose organizzazioni enterprise mantengono IE Mode per applicazioni legacy, consolidando il rendering engine Trident anche per servizi moderni come OWA. Il risultato: anche con EEMS attivo e patch installata, questi endpoint restano vulnerabili. La raccomandazione Microsoft — non usare IE Mode per OWA — è netta ma non fornisce un enforcement tecnico.
La mappa dei side effects della mitigazione EEMS, documentata nell'analisi Rescana, aggiunge complessità: perdita della funzione Stampa Calendario in OWA, problemi alle immagini inline, incompatibilità con OWA Light mode. Organizzazioni che hanno disabilitato EEMS per questi malfunzionamenti si sono esposte al rischio per un intero mese, fino al 9 giugno.
Cosa fare adesso
- Installare immediatamente gli aggiornamenti di giugno 2026 per Exchange Server 2016, 2019 e SE; la patch è permanente ma non sostituisce la mitigazione EEMS
- Mantenere attiva la mitigazione EEMS come layer difensivo aggiuntivo, conformemente alla raccomandazione Microsoft esplicita
- Verificare e bloccare l'accesso a OWA tramite Internet Explorer o Edge in IE Mode: questi browser non supportano CSP e bypassano la protezione EEMS
- Ricontrollare che la funzione Stampa Calendario e le immagini inline siano ripristinate dopo l'installazione della patch permanente, monitorando eventuali regressioni
Pattern storico e lettura: perché Exchange non smette di essere il bersaglio
Il dato strutturale è nel conteggio storico: 20 vulnerabilità Exchange aggiunte al catalogo KEV di CISA negli ultimi cinque anni, di cui 14 utilizzate da ransomware gangs. CVE-2026-42897 non è un'eccezione nel trend, ma conferma la superficie di attacco del server di posta on-premises come asset critico.
Il Patch Tuesday di giugno 2026 ha corretto 200 flaw complessivi, con sei zero-day. La densità di vulnerabilità critiche in Exchange riflette la complessità del codebase e l'attrattiva per attori threat: l'accesso alla posta elettronica rimane uno dei vettori di compromissione iniziale più efficaci per operazioni di cybercrime e, potenzialmente, di spionaggio.
La scelta di Microsoft di mantenere EEMS attivo oltre la patch permanente segnala una gestione del rischio conservativa. L'azienda non garantisce che la correzione di giugno sia definitiva: "as further improvements are released" implica che il ciclo di fix potrebbe non essere concluso. Per gli amministratori, questo significa che il monitoraggio degli advisory Exchange resta obbligatorio anche dopo l'installazione degli update.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://www.bleepingcomputer.com/news/microsoft/microsoft-patches-exchange-server-zero-day-exploited-in-attacks/
- https://www.securityweek.com/microsoft-warns-of-exchange-server-zero-day-exploited-in-the-wild/
- https://www.rescana.com/post/cve-2026-42897-zero-day-analysis-microsoft-exchange-server-owa-xss-vulnerability-exploited-in-the-wild
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42897
- https://www.helpnetsecurity.com/2026/06/10/ivanti-sentry-cve-2026-10520-cve-2026-10523/
- https://pcper.com/2026/06/nightmare-eclipse-and-microsoft-continue-their-fight-over-zero-days/
- https://www.cisa.gov/news-events/alerts/2026/06/01/cisa-adds-one-known-exploited-vulnerability-catalog
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?search=CVE-2024-21182&field_date_added_wrapper=all&field_cve=&sort_by=field_date_added&items_per_page=20&url=
- https://www.helpnetsecurity.com/2023/07/25/cve-2023-35078/