Vulnerabilità zero-day Exchange Server: attacchi in corso

Microsoft ha confermato l’esistenza di una nuova vulnerabilità zero-day nel sistema di posta elettronica Exchange Server, identificata con il codice CVE-2026-42897. Questa falla permette agli hacker di infiltrarsi nei sistemi eseguendo codice JavaScript attraverso Outlook Web Access. Le informazioni sono state rese note in seguito a segnalazioni di circolazione di un exploit in grado di sfruttare la vulnerabilità in modo attivo.

Descrizione della vulnerabilità

I server Exchange interessati sono quelli on-premises delle versioni 2016, 2019 e Subscription Edition (SE). Il problema riguarda l'impropria gestione degli input durante la generazione dinamica di pagine web, causando potenziali attacchi di tipo cross-site scripting. I cybercriminali possono quindi utilizzare l’inganno come tecnica di spoofing, falsificando la propria identità per ingannare le vittime.

Il meccanismo attivo dell’attacco richiede solo che un utente riceva una mail compromessa. Se l’email viene aperta in Outlook Web Access e vengono soddisfatti certi prerequisiti di interazione, il codice JavaScript arbitrio può essere eseguito direttamente nel contesto del browser dell’utente.

Rimedio provvisorio fornito da Microsoft

Per mitigare il rischio in previsione della patch definitiva, Microsoft ha reso disponibile una soluzione temporanea attraverso il Exchange Emergency Mitigation Service. Questo servizio, attivo per default da settembre 2021, fornisce una protezione automatizzata per le implementazioni locali del server, soprattutto per quelle vulnerabili ad alto rischio, come quelle già sfruttate con le famose vulnerabilità ProxyLogon e ProxyShell.

I server Exchange non connessi a Internet, invece, ricevono una mitigazione manuale attraverso un tool basato su script PowerShell. Tuttavia, Microsoft ha emesso un avvertimento sugli effetti collaterali: potrebbe verificarsi l’impossibilità di stampare i calendari oppure di visualizzare immagini inline nel pannello di lettura di Outlook Web Access.

Dettagli sulla patch definitiva

La patch ufficiale verrà distribuita per Exchange Server SE RTM, Exchange 2016 CU23 e Exchange Server 2019 CU14/CU15. Per le versioni 2016 e 2019, ormai non più supportate, le patch saranno rese disponibili unicamente ai clienti iscritti al programma Extended Security Update (ESU) nell’ambito del Period 2.

Analisi del rischio

Questa vulnerabilità, a causa del suo potenziale per attacchi mirati, richiede una rapida attenzione da parte degli amministratori IT. La soluzione Emergency Mitigation Service è attualmente l’unica strategia difensiva efficace. In assenza di questa mitigazione, l’esposizione alle minacce cresce esponenzialmente, soprattutto se il sistema in uso si trova all’interno di reti non protette o accessibili da Internet.

Microsoft non ha specificato l'origine esatta della vulnerabilità né il numero attuale di sistemi compromessi. Tuttavia, dati i precedenti con ProxyLogon e ProxyShell, c’è un alto rischio che gli hacker stiano già sfruttando questa falla in contesti di attacchi mirati. Per gli utilizzatori di Exchange Server che non hanno accesso alla mitigazione manuale, è consigliabile contattare direttamente Microsoft per informazioni aggiornate.

Conclusione

La vulnerabilità CVE-2026-42897 rappresenta un grave rischio per le infrastrutture informatiche che utilizzano Exchange Server. Microsoft ha fornito una soluzione d’emergenza, ma la diffusione della patch definitiva dovrà avvenire con estrema tempistica. Gli amministratori dei server interessati sono incoraggiati a valutare l'accesso al programma ESU per continuare a ricevere aggiornamenti di sicurezza. In sintesi, è cruciale adottare oggi stesso le strategie difensive suggerite per limitare i danni potenziali.