Уязвимость CVE-2026-42897 активно эксплуатируется на локальных серверах Microsoft Exchange. Эта ошибка позволяет злоумышленнику скомпрометировать систему, просто отправив вредоносное электронное письмо. Самое серьезное — аутентификация не требуется, что делает любой открытый сервер легкой мишенью для несанкционированного доступа и возможной кражи данных.
Технический механизм атаки без учетных данных 🛡️
Ошибка находится в компоненте обработки входящих сообщений Exchange. При обработке письма с манипулированными полями заголовка служба не проверяет должным образом входные данные перед передачей их в механизм выполнения команд. Это позволяет внедрить произвольный код в контексте системы. Поскольку вектором атаки является простое электронное письмо, любой сервер с открытым портом SMTP уязвим без необходимости взаимодействия с пользователем или предварительных привилегий.
Письмо приходит, а сервер уходит 😅
Оказывается, теперь в папке «Входящие» не только спам о нигерийском наследстве, но и RCE в подарок. Злоумышленники обнаружили, что настоящий фишинг — это не кража вашего пароля, а кража всего вашего сервера с помощью простого «Привет, я начальник». И пока Microsoft готовит патч, нам остается только надеяться, что у злоумышленника хороший вкус и он не удалит фотографии из офиса.