15 maja 2026 Microsoft opublikował awaryjne ostrzeżenie dotyczące świeżo zidentyfikowanej luki w on-premowych serwerach Microsoft Exchange. Podatność, oznaczona jako CVE-2026-42897 i wyceniona na 8.1 w skali CVSS, jest już aktywnie wykorzystywana w atakach na firmy korzystające z własnych serwerów pocztowych. Microsoft Security Response Center potwierdziło, że pierwsze próbki w środowisku produkcyjnym pojawiły się jeszcze przed publikacją biuletynu, co czyni z tej luki klasyczny zero-day. Łatki jeszcze nie ma — administratorzy muszą polegać na mechanizmie Exchange Emergency Mitigation Service.
Na czym polega luka
CVE-2026-42897 to błąd typu cross-site scripting w generowaniu stron OWA (Outlook Web Access). Klasyfikacja CWE-79 sugeruje, że problem dotyczy nieprawidłowej neutralizacji danych wejściowych podczas renderowania widoku wiadomości. W praktyce wygląda to tak, że napastnik wysyła do ofiary specjalnie skonstruowany e-mail, w którym osadzony jest fragment kodu HTML/JavaScript ukryty w nagłówku albo w treści w formacie obejściu standardowych filtrów. Kiedy ofiara otwiera tę wiadomość w przeglądarce przez interfejs OWA, kod uruchamia się w kontekście domeny serwera Exchange.
Co groźne — uruchomienie kodu JavaScript w kontekście OWA oznacza dostęp do ciasteczek sesji i tokenów uwierzytelniania ofiary. Napastnik może wtedy odczytać całą skrzynkę, wysłać wiadomości jako ofiara, manipulować regułami przekierowania, a w przypadku konta administratora — eskalować uprawnienia na cały serwer pocztowy. Luka nie wymaga interakcji innej niż otwarcie wiadomości; nie trzeba klikać w załącznik ani w link.
Kogo dotyczy problem
Podatne są w pełni zaktualizowane wersje Microsoft Exchange Server 2016, Exchange Server 2019 oraz Exchange Server Subscription Edition. Co istotne, Exchange Online (czyli pocztę w chmurze w ramach Microsoft 365) ten konkretny CVE nie dotyczy — Microsoft zaadresował problem po stronie usługi przed ogłoszeniem. Bardziej narażone są więc firmy, które z różnych powodów — kosztowych, regulacyjnych albo dla zachowania kontroli nad danymi — utrzymują własną instalację Exchange w serwerowni lub na hostingu dedykowanym.
W praktyce w Polsce dotyczy to dużej części sektora publicznego, części banków oraz średnich i większych firm, które migrację do chmury odłożyły na później. Jeżeli logujesz się do poczty firmowej przez adres typu mail.twojafirma.pl/owa, to ta strona jest właśnie OWA.
Aktywna eksploatacja w środowisku produkcyjnym
Microsoft nie ujawnił, kto stoi za pierwszymi atakami, ale podkreślił, że wykrył próbki wykorzystania w „ukierunkowanych kampaniach”. Historia poprzednich luk w Exchange — Hafnium z 2021 i seria ProxyShell — pokazuje, że tego typu zero-daye najpierw używają grupy państwowe, a w ciągu dwóch tygodni od ich ujawnienia exploit trafia do publicznych frameworków i zaczyna być masowo wykorzystywany przez ransomware. Spodziewamy się więc gwałtownego wzrostu skanowania internetu w poszukiwaniu publicznie dostępnych endpointów OWA już w najbliższych dniach.
Co zrobić natychmiast
Pierwsza i najważniejsza rzecz to upewnienie się, że Exchange Emergency Mitigation Service (EEMS) jest włączony i aktywny. EEMS to wbudowany w Exchange mechanizm, który automatycznie pobiera od Microsoftu reguły mitygacji i nakłada je na serwer bez konieczności zatrzymywania usługi. W tym przypadku Microsoft wypuścił mitygację oznaczoną M2 — administrator powinien sprawdzić w EAC (Exchange Admin Center), czy mitygacja została pobrana i zastosowana. Polecenie Get-MitigationsApplied w Exchange Management Shell pokaże aktualny stan.
Druga rzecz to świadomość ograniczeń mitygacji M2. Microsoft potwierdził dwa znane skutki uboczne — funkcja drukowania kalendarza z OWA może przestać działać, a obrazy osadzone inline mogą nie wyświetlać się poprawnie w panelu czytania. To drobne niedogodności, ale warto poinformować użytkowników, żeby nie zgłaszali ich jako awarii.
Trzecia warstwa to ograniczenie ekspozycji OWA na publiczny internet. Jeżeli firma nie potrzebuje dostępu do poczty z dowolnego miejsca na świecie, warto rozważyć ograniczenie OWA do VPN albo do listy zaufanych adresów IP w firewallu lub WAF. To nie wyklucza ataku przez wewnętrznego pracownika, ale drastycznie zmniejsza powierzchnię ataku.
Czwarta — szkolenie użytkowników. Przypomnij pracownikom, żeby w najbliższych dniach byli wyjątkowo ostrożni z otwieraniem wiadomości od nieznanych nadawców, zwłaszcza w OWA. Klient desktopowy Outlook nie renderuje JavaScriptu, więc tam ryzyko jest dużo mniejsze — można nawet rozważyć tymczasowe wymuszenie korzystania z Outlooka zamiast OWA.
Podsumowanie
CVE-2026-42897 to kolejna w długiej serii poważna luka w on-premowym Exchange, która pokazuje, że utrzymywanie własnego serwera pocztowego w 2026 roku to praca pełnoetatowa. Jeżeli twoja firma wciąż siedzi na lokalnym Exchange, sprawdź dzisiaj status EEMS, ogranicz dostęp do OWA z internetu i obserwuj kanały Microsoft Security Update — patch jest spodziewany w ramach czerwcowego Patch Tuesday, ale nie ma gwarancji, że nie przyspieszą. W międzyczasie EEMS jest jedyną linią obrony.
źródło: https://thehackernews.com/2026/05/on-prem-microsoft-exchange-server-cve.html