Foto: SecurityWeek
Microsoft je u najnovijem izdanju Patch Tuesdayja objavio zakrpe za ranjivost u Exchange Serveru praćenu kao CVE-2026-42897, koju su napadači aktivno iskorištavali. Tvrtka je korisnike Exchangea upozorila na zero-day napade 14. svibnja i tada objavila privremene mjere ublažavanja, a CISA je dan kasnije dodala taj sigurnosni propust u svoj katalog Known Exploited Vulnerabilities te naložila saveznim agencijama da ga obrade do 29. svibnja.
Riječ je o propustu koji kombinira spoofing i XSS, a zahvaća Exchange Server Subscription Edition, verzije 2016 i 2019. Microsoft navodi da napadač može iskoristiti problem slanjem posebno pripremljene e-pošte korisniku; ako korisnik otvori poruku u Outlook Web Accessu i ispune se određeni uvjeti interakcije, u kontekstu preglednika može se izvršiti proizvoljan JavaScript. Tvrtka je zakrpe objavila 9. lipnja i pozvala korisnike da sigurnosna ažuriranja instaliraju što prije.
Microsoft je ranjivost otkrio zahvaljujući istraživaču koji je zatražio anonimnost, a i dalje nije jasno tko stoji iza napada niti tko su bili ciljani korisnici. CISA-in katalog KEV trenutačno sadrži dva desetljeća Exchange ranjivosti, a podaci pokazuju da je iskorištavanje bilo znatno učestalije između 2021. i 2023. godine, dok u 2025. nije dodan nijedan novi unos. U 2026. za sada je dodan samo CVE-2026-42897.
Takav raspored unosa sugerira da je iskorištavanje Exchangea danas rjeđe nego u vršnim godinama, no u ovom slučaju fokus ostaje na konkretnoj zaštiti sustava koji koriste pogođene verzije. Administratori koji održavaju Exchange Server Subscription Edition, 2016 ili 2019 trebaju provjeriti jesu li primijenjene objavljene zakrpe te pratiti sigurnosne smjernice Microsofta i CISA-e. Budući da se radilo o zero-day napadima, prioritet je bio najprije privremeno ublažavanje, a potom instalacija sigurnosnih ažuriranja čim su postala dostupna.
Vezane vijesti
