A vulnerabilidade CVE-2026-42897 está sendo explorada ativamente em servidores Microsoft Exchange locais. Essa falha permite que um invasor comprometa o sistema apenas enviando um e-mail malicioso. O mais grave é que não é necessária autenticação, o que torna qualquer servidor exposto um alvo fácil para acessos não autorizados e possível roubo de dados.
O mecanismo técnico por trás do ataque sem credenciais 🛡️
A falha reside no componente de manipulação de mensagens recebidas do Exchange. Ao processar um e-mail com campos de cabeçalho manipulados, o serviço não valida corretamente a entrada antes de passá-la ao mecanismo de execução de comandos. Isso permite injetar código arbitrário no contexto do sistema. Como o vetor de ataque é um simples e-mail, qualquer servidor com a porta SMTP aberta está vulnerável sem necessidade de interação do usuário ou privilégios prévios.
O e-mail que chega e o servidor que vai embora 😅
Acontece que a caixa de entrada já não traz apenas spam de heranças nigerianas, agora também traz um RCE de presente. Os invasores descobriram que o verdadeiro phishing não é roubar sua senha, mas roubar seu servidor inteiro com um simples Olá, sou o chefe. E enquanto a Microsoft prepara um patch, a única coisa que nos resta é esperar que o invasor tenha bom gosto e não apague as fotos do escritório.