Хотя Exchange Online является рекомендуемой конфигурацией от Microsoft для того, чтобы поддерживать вашу платформу современной и обновленной, Exchange Server по-прежнему остается основой инфраструктуры для многих корпоративных клиентов. Теперь технологический гигант из Редмонда выпустил предупреждение, которое может обеспокоить пользователей Exchange Server.
По сути, в Exchange Server 2016, 2019 и SE обнаружена уязвимость безопасности, которая позволяет злоумышленнику выполнить произвольный код JavaScript в контексте браузера жертвы, отправив ей специально сформированное электронное письмо, которое необходимо открыть в Outlook Web Access (OWA) и с которым нужно определенным образом взаимодействовать. Она отслеживается как CVE-2026-42897 и получила наивысший рейтинг серьезности — «критический».
На данный момент Microsoft предлагает две меры смягчения последствий. Первая — рекомендуемый подход, требующий от клиентов включить службу Exchange EM Service, которая автоматически снижает риск этой вектора атаки. Важно отметить, что эта служба была выпущена в сентябре 2021 года и включена по умолчанию, поэтому затронуты только те клиенты, которые явно ее отключали.
Вторая мера смягчения последствий предназначена для клиентов, которые по какой-либо причине отключили службу Exchange EM Service. Им рекомендуется применить процесс скриптового смягчения последствий, описанный здесь.
Однако ни один из этих двух методов не является надежным исправлением, поскольку они приведут к другим проблемам, описанным ниже:
- Функциональность печати календаря в OWA может не работать. В качестве обходного пути скопируйте данные или сделайте скриншот календаря, который хотите распечатать, или используйте настольный клиент Outlook.
- Встроенные изображения могут некорректно отображаться в области чтения OWA получателя. В качестве обходного пути отправляйте изображения в виде вложений к письму или используйте настольный клиент Outlook.
- OWA light (URL OWA, заканчивающийся на /?layout=light) работает некорректно. Обратите внимание, что эта функция была устаревшей несколько лет назад и не предназначена для регулярного производственного использования.
- Нам известно о сообщении «Mitigation invalid for this exchange version.» в деталях смягчения последствий. Эта проблема носит косметический характер, и мера смягчения последствий ПРИМЕНЯЕТСЯ успешно, если статус отображается как «Applied». Мы изучаем, как это исправить.
Хорошая новость заключается в том, что Microsoft работает над надлежащим и надежным исправлением. Exchange SE получит его в виде общедоступного обновления, в то время как обновления для Exchange 2016 и 2019 будут предлагаться только тем клиентам, которые оплатили Период 2 программы расширенных обновлений безопасности (ESU) для Exchange Server. Клиенты Периода 1 не получат обновление, так как их программа истекла в апреле 2026 года. Наконец, пользователи Exchange Online могут быть спокойны, поскольку эта уязвимость безопасности их совершенно не затрагивает.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Usama Jawad
