La vulnerabilità CVE-2026-42897 è attivamente sfruttata nei server Microsoft Exchange locali. Questa falla consente a un attaccante di compromettere il sistema semplicemente inviando un'email malevola. La cosa più grave è che non è richiesta autenticazione, il che trasforma qualsiasi server esposto in un facile bersaglio per accessi non autorizzati e possibile furto di dati.
Il meccanismo tecnico dietro l'attacco senza credenziali 🛡️
La falla risiede nel componente di gestione dei messaggi in arrivo di Exchange. Durante l'elaborazione di un'email con campi di intestazione manipolati, il servizio non convalida correttamente l'input prima di passarlo al motore di esecuzione dei comandi. Ciò consente di iniettare codice arbitrario nel contesto del sistema. Poiché il vettore d'attacco è una semplice email, qualsiasi server con la porta SMTP aperta è vulnerabile senza necessità di interazione da parte dell'utente o privilegi precedenti.
L'email che arriva e il server che se ne va 😅
A quanto pare, la casella di posta in arrivo non porta più solo spam di eredità nigeriane, ora porta anche un RCE in regalo. Gli attaccanti hanno scoperto che il vero phishing non è rubare la tua password, ma rubare l'intero server con un semplice Ciao, sono il capo. E mentre Microsoft prepara una patch, l'unica cosa che ci resta è sperare che l'attaccante abbia buon gusto e non cancelli le foto dell'ufficio.