Una nuova vulnerabilità zero-day di Microsoft Exchange Server, già sfruttata attivamente, può essere innescata con una sola email aperta via Outlook Web Access e portare all’esecuzione di codice nel browser dell’utente.
Microsoft ha diffuso indicazioni di mitigazione per una falla ad alta criticità identificata come CVE-2026-42897, descritta come vulnerabilità di spoofing. Il punto che preoccupa è che non colpisce installazioni trascurate o vecchie: riguarda versioni pienamente aggiornate di Exchange Server 2016, Exchange Server 2019 e Exchange Server Subscription Edition (SE).
Lo scenario d’attacco è concreto e, per certi aspetti, scomodo da gestire: all’attaccante basta inviare un messaggio costruito ad arte. Se la vittima lo apre tramite Outlook Web Access e si verificano “determinate condizioni di interazione”, può partire l’esecuzione di JavaScript arbitrario nel contesto del browser. In altre parole, l’attacco vive dentro la sessione web dell’utente: non è solo un problema “del server”, ma coinvolge la superficie più quotidiana, cioè la lettura della posta dal browser.
Perché conta anche fuori dai reparti IT
Per chi usa Exchange on-premises, la posta via web è spesso la soluzione di emergenza e di comodità: accesso rapido, niente client configurati, lavoro da qualunque PC. Proprio per questo, il vettore email è pericoloso: un messaggio può arrivare a dipendenti, collaboratori o team che gestiscono caselle condivise. Il dettaglio delle “condizioni di interazione” non va sottovalutato: significa che non basta contare sul fatto che “non si clicca mai nulla”, perché a volte l’interazione è parte naturale della lettura (anteprime, apertura, azioni dentro l’interfaccia).
Dal punto di vista pratico, il rischio immediato è che un aggressore riesca a far eseguire script nel browser e a sfruttare la sessione o il contesto di navigazione. Anche senza entrare in scenari estremi, una compromissione lato webmail può tradursi in furto di informazioni, accessi non autorizzati e catene di attacco che partono dalla posta per arrivare ad altri servizi aziendali.
Patch non disponibili: la strada indicata è EEMS
Al momento non ci sono patch disponibili, e questo sposta l’attenzione su ciò che si può fare subito. Microsoft indica l’uso dell’Exchange Emergency Mitigation Service (EEMS), in grado di applicare mitigazioni automatiche per server on-premises Exchange 2016, 2019 e SE. L’indicazione è netta: se il servizio è disattivato, conviene abilitarlo immediatamente per ricevere le mitigazioni non appena rese disponibili.
C’è però una condizione operativa da verificare: EEMS non può controllare nuove mitigazioni se il server esegue una versione di Exchange più vecchia di marzo 2023. In molte organizzazioni, “pienamente aggiornato” non sempre coincide con “aggiornato abbastanza da supportare tutti i servizi di mitigazione”, quindi vale la pena controllare subito lo stato reale dell’ambiente.
Come verificare lo stato e cosa aspettarsi
Per controllare lo stato dell’Exchange Emergency Mitigation Service, Microsoft rimanda all’uso dell’Exchange Health Checker script, lo strumento pratico con cui un team può capire se EEMS è attivo e in grado di ricevere mitigazioni. Per chi non è del reparto IT, l’impatto più concreto è questo: nei prossimi giorni potrebbero arrivare richieste di attenzione su comportamenti in webmail, cambi di configurazione, o finestre di manutenzione, perché la risposta a una zero-day spesso richiede azioni rapide e coordinate.
Il contesto aiuta a capire il livello di pressione: nello stesso periodo Microsoft ha gestito una tornata ampia di correzioni, con oltre 130 vulnerabilità risolte nell’ultimo Patch Tuesday e un contributo crescente di strumenti interni di caccia ai bug come MDASH (Multi-model Agentic Scanning Harness). Ma per questa falla di Exchange, oggi, la difesa passa soprattutto da mitigazioni e verifiche immediate.
