Una nuova vulnerabilità zero-day di Microsoft Exchange Server sta attirando l’attenzione dei responsabili IT perché può essere sfruttata con una singola email aperta tramite Outlook Web Access. Il rischio non è teorico: la falla è già stata osservata in attacchi attivi.
La criticità, identificata come CVE-2026-42897, è descritta da Microsoft come una vulnerabilità di spoofing e riguarda anche installazioni aggiornate di Exchange Server 2016, Exchange Server 2019 e Exchange Server Subscription Edition. In pratica, non si tratta di un problema confinato a sistemi obsoleti o trascurati.
Microsoft Exchange Server e il rischio della zero-day
Lo scenario è insidioso perché l’attacco passa dalla posta elettronica e si innesta nella normale esperienza di utilizzo del browser. Se la vittima apre il messaggio in Outlook Web Access e si verificano determinate condizioni di interazione, può essere eseguito JavaScript arbitrario nel contesto della sessione web.
Questo significa che il pericolo non riguarda solo il server, ma anche l’utente che legge la posta online. Un aggressore potrebbe sfruttare la sessione del browser per tentare furti di informazioni, accessi non autorizzati o ulteriori movimenti all’interno dell’ambiente aziendale.
Perché la minaccia è concreta anche fuori dall’IT
Per molte organizzazioni Exchange on-premises resta una componente centrale, soprattutto quando la webmail viene usata come soluzione rapida e universale da dipendenti, collaboratori e team che gestiscono caselle condivise. Proprio per questo il vettore email è così efficace: basta un messaggio costruito ad arte per colpire utenti che accedono alla posta da qualsiasi postazione.
Il punto delicato è che le “condizioni di interazione” richieste non vanno sottovalutate. In un ambiente reale, aprire un messaggio, visualizzarne il contenuto o compiere un’azione nell’interfaccia può rientrare nella normale routine di lavoro. Ecco perché la prevenzione non può basarsi solo sulla prudenza dell’utente finale.
Mitigazioni disponibili e controlli da eseguire
Al momento non risultano patch immediate, quindi la priorità è applicare le mitigazioni indicate da Microsoft. La strada consigliata è l’Exchange Emergency Mitigation Service, o EEMS, pensato per distribuire protezioni automatiche sui server on-premises supportati. Se il servizio è disattivato, conviene abilitarlo il prima possibile.
Esiste però un vincolo importante: EEMS non può controllare nuove mitigazioni se Exchange esegue una build precedente a marzo 2023. Per questo è necessario verificare lo stato reale dell’ambiente, non solo presumere che sia aggiornato. Microsoft suggerisce di usare l’Exchange Health Checker script per controllare se il servizio è attivo e pronto a ricevere le mitigazioni.
In un contesto in cui Microsoft ha già gestito una tornata ampia di correzioni, questa zero-day richiama l’attenzione su un punto essenziale: nelle emergenze di sicurezza, la rapidità di verifica conta quanto la capacità di intervenire. Per chi amministra Exchange, ora il passo più importante è controllare la configurazione e applicare subito le misure di contenimento disponibili.
