Microsoft memperingatkan kelemahan zero-day Exchange yang dieksploitasi dalam serangan

Pada hari Kamis, Microsoft berbagi mitigasi untuk kerentanan Exchange Server dengan tingkat keparahan tinggi yang dieksploitasi dalam serangan yang memungkinkan pelaku ancaman mengeksekusi kode arbitrer melalui skrip lintas situs (XSS) sambil menargetkan pengguna Outlook di web.

Microsoft menjelaskan kelemahan keamanan ini (CVE-2026-42897) sebagai kerentanan spoofing yang memengaruhi perangkat lunak Exchange Server 2016, Exchange Server 2019, dan Exchange Server Subscription Edition (SE) terbaru.

Meskipun patch belum tersedia untuk memperbaiki kerentanan secara permanen, perusahaan menambahkan bahwa Exchange Emergency Mitigation Service (EEMS) akan memberikan mitigasi otomatis untuk server lokal Exchange Server 2016, 2019, dan SE.

“Penyerang dapat mengeksploitasi masalah ini dengan mengirimkan email yang dibuat khusus kepada pengguna. Jika pengguna membuka email di Outlook Web Access dan kondisi interaksi tertentu terpenuhi, JavaScript dapat dieksekusi dalam konteks browser,” kata Kata Tim Pertukaran.

“Menggunakan Layanan EM adalah cara terbaik bagi organisasi Anda untuk segera memitigasi kerentanan ini. Jika Layanan EM saat ini dinonaktifkan, kami sarankan Anda segera mengaktifkannya. Harap dicatat bahwa Layanan EM tidak akan dapat memeriksa mitigasi baru jika server Anda menjalankan versi Exchange Server yang lebih lama dari Maret 2023.”

EEMS diperkenalkan pada September 2021 untuk memberikan perlindungan otomatis bagi server Exchange lokal, mengamankannya dari serangan yang sedang berlangsung dengan menerapkan mitigasi sementara terhadap kerentanan yang berisiko tinggi (dan kemungkinan besar dieksploitasi secara aktif).

EEMS berjalan sebagai layanan Windows di server Kotak Surat Exchange dan secara otomatis diaktifkan di server dengan peran Kotak Surat. Fitur keamanan ditambahkan setelah banyak kelompok peretas yang mengeksploitasinya ProxyLogon Dan ProxyShell zero-days (yang tidak memiliki patch atau informasi mitigasi) untuk menembus server Exchange yang terekspos Internet.

Admin dengan server di lingkungan dengan celah udara juga dapat mengurangi kelemahan ini dengan mengunduh versi Alat Mitigasi Exchange on-premise (EOMT) terbaru dan menerapkan mitigasi dengan menjalankan skrip melalui Exchange Management Shell (EMS) yang ditinggikan dengan salah satu perintah berikut:

• Server tunggal: .EOMT.ps1 -CVE "CVE-2026-42897"

• Semua server: Get-ExchangeServer | Where-Object { $_.ServerRole -ne "Edge" } | .EOMT.ps1 -CVE "CVE-2026-42897"

Namun, penting untuk dicatat bahwa menerapkan langkah-langkah mitigasi pada server yang rentan akan menimbulkan masalah, termasuk:

• Fungsi OWA Print Calendar mungkin tidak berfungsi. Sebagai solusinya, Microsoft menyarankan untuk menyalin data, mengambil tangkapan layar kalender yang ingin Anda cetak, atau menggunakan klien Outlook Desktop.
• Gambar sebaris mungkin tidak ditampilkan dengan benar di panel baca OWA penerima. Sebagai solusinya, pengguna disarankan untuk mengirim gambar sebagai lampiran email atau menggunakan klien Outlook Desktop.
• OWA light (URL OWA diakhiri dengan /?tata letak=ringan) tidak berfungsi dengan benar (fitur ini tadi tidak digunakan lagi beberapa tahun yang lalu dan tidak dimaksudkan untuk penggunaan produksi reguler).

Microsoft berencana merilis patch untuk Exchange SE RTM, Exchange 2016 CU23, dan Exchange Server 2019 CU14 dan CU15, namun mengatakan bahwa pembaruan untuk Exchange 2016 dan 2019 hanya akan tersedia bagi pelanggan yang terdaftar dalam program ESU Exchange Server Periode 2.

BleepingComputer juga menghubungi Microsoft dengan pertanyaan tentang serangan tersebut, namun tanggapannya tidak segera tersedia.

Pada bulan Oktober, beberapa minggu setelah Exchange 2016 dan 2019 mencapai akhir dukunganBadan Keamanan Siber dan Infrastruktur (CISA) dan Badan Keamanan Nasional (NSA) panduan yang dirilis untuk membantu admin TI memperkuat server Microsoft Exchange terhadap serangan.

Selama 5 tahun terakhir, CISA telah menambahkan 19 kerentanan Microsoft Exchange Server ke dalam daftar kelemahan keamanan yang dieksploitasi secara aktif, 14 di antaranya juga disalahgunakan dalam serangan ransomware.