Microsoft предупредила об атаках на новую уязвимость нулевого дня в Exchange Server с индексом CVE-2026-42897. Проблема затрагивает Exchange Server 2016, 2019 и Subscription Edition, а полноценного патча пока нет.

Компания просит администраторов не ждать обновления и срочно включить Exchange Emergency Mitigation Service (EEMS). По описанию Microsoft, баг связан с XSS и спуфингом в Outlook Web Access, а для атаки достаточно письма, которое пользователь откроет через веб-интерфейс.

Какую проблему решаем

Если у вас в инфраструктуре живёт Exchange Server, сейчас важнее не паниковать, а быстро сократить риск атаки. Речь идёт не о теоретической дыре из отчёта исследователей, а об уязвимости, которую Microsoft уже связывает с реальными инцидентами.

Для администратора это означает простой выбор: включить временную защиту, проверить настройки веб-доступа и подготовить план обновления. Если рядом с Exchange у вас ещё и дистанционная работа сотрудников, полезно отдельно проверить почтовую гигиену и сценарии входа в ящик — об этом мы уже писали в разборе рисков для корпоративной приватности.

Что подготовить

Перед любыми действиями соберите три вещи: доступ администратора к серверу, окно для работ и список затронутых машин. Microsoft отдельно указывает на Exchange 2016, 2019 и SE, а значит сначала надо понять, какие экземпляры у вас вообще работают.

Проверьте, входит ли ваша организация в программу Extended Security Updates, если у вас ещё остались Exchange 2016 или 2019. По сообщению компании, именно такие организации получат обновления позже.

Пошаговые действия

Один. Включите EEMS

Microsoft рекомендует срочно активировать Exchange Emergency Mitigation Service. Это служба, которая применяет временные защитные меры для локальных Exchange-серверов и работает как служба Windows на Mailbox-серверах.

Два. Оцените, как используется OWA

Уязвимость связана с Outlook Web Access. Проверьте, кто и откуда ходит в веб-интерфейс, какие почтовые ящики доступны через браузер и не торчит ли OWA наружу без нужды.

Если доступ из внешних сетей нужен, заранее ужесточите правила входа, а пользователям напомните не открывать странные письма и вложения. Для рабочих сценариев вне офиса лучше держать под рукой приватный канал для рабочих подключений, чтобы отделить служебный трафик от случайных сетей.

Три. Примените дополнительные меры для изолированных сред

Для изолированных сред Microsoft советует использовать Exchange On-premises Mitigation Tool и вручную включать защиту через Exchange Management Shell. Это пригодится там, где автоматическая схема работает не так, как задумано, или где серверы живут в закрытом сегменте.

Четыре. Закладывайте побочные эффекты

Временные исправления могут задеть функциональность OWA. Microsoft уже предупреждает, что может сломаться Print Calendar, изображения в письмах иногда отображаются криво, а режим OWA Light — устаревший, но всё ещё встречающийся — тоже может перестать работать.

Это не повод откладывать защиту. Это повод заранее предупредить пользователей и службу поддержки, чтобы потом не искать «поломку» там, где работает защитная мера.

Пять. Ждите нормальный патч, но не сидите сложа руки

Полноценные обновления компания обещает выпустить позже для Exchange SE RTM, Exchange 2016 CU23 и Exchange 2019 CU14/CU15. Пока же ваша задача — закрыть дыру временными средствами и не выпускать сервер в интернет без нужды.

Подход здесь такой же, как и при любой крупной атаке на корпоративную почту: сначала срезать риск, потом разбирать хвосты. В похожих ситуациях полезно смотреть и на общую модель защиты почтовой и серверной инфраструктуры — например, в нашем разборе практик защиты корпоративных систем.

Как проверить себя

После включения EEMS убедитесь, что служба запущена и сервер получает временные правила защиты. Затем проверьте, не изменилось ли поведение OWA у тестового пользователя: открывается ли календарь, корректно ли рендерятся письма, нет ли ошибок входа.

Если у вас несколько серверов, проверьте каждый отдельно. Ошибка на одном узле может оставить дыру в том месте, где вы ожидали защиту.

Что делать, если не получилось

Если EEMS не запускается или не накладывает нужные правила, переходите к ручной проверке через Exchange Management Shell и смотрите рекомендации Microsoft для вашей конфигурации. Для изолированных сред не тяните до ночи или выходных: такие инциденты обычно всплывают именно тогда, когда служба поддержки уже работает в режиме аврала.

Когда не хватает собственных сил, подключайте подрядчика по инфраструктуре или внутреннюю команду ИБ. Но не оставляйте сервер в исходном состоянии в надежде, что «авось пронесёт».

Практический чек-лист

  • Проверил, какие версии Exchange Server работают в сети.
  • Включил EEMS на всех нужных Mailbox-серверах.
  • Для закрытых сегментов подготовил ручную схему через Exchange Management Shell.
  • Уточнил, кто реально пользуется OWA и нужен ли внешний доступ.
  • Предупредил сотрудников о возможных сбоях в календаре и отображении писем.
  • Проверил, входит ли организация в ESU-программу для старых версий.
  • Запланировал установку штатного обновления, как только Microsoft его выпустит.
  • Для рабочих подключений вне офиса выбрал отдельный защищённый канал: удобный слой защиты для удалённой работы.
Поделиться: