Aanvallers maken actief misbruik van een kritiek cross-site scripting-lek in Microsoft Exchange Server, zo waarschuwt Microsoft. Beveiligingsupdates zijn nog niet beschikbaar, wel een tijdelijke mitigatie die via de Exchange Emergency Mitigation Service wordt uitgerold. De kwetsbaarheid (CVE-2026-42897) maakt het mogelijk voor aanvallers om via een speciaal geprepareerde e-mail JavaScript in de browser van Outlook Web Access-gebruikers uit te voeren. Zo zou er toegang tot e-mail en andere informatie kunnen worden verkregen.

Microsoft werd door een externe partij over het misbruik ingelicht, maar heeft de naam van de melder niet bekendgemaakt. Het probleem raakt Microsoft Exchange Server 2016, Exchange Server 2019 en de Exchange Server Subscription Edition. Microsoft zegt dat het aan beveiligingsupdates werkt, wanneer die beschikbaar komen is nog niet bekend. Er zijn wel door het techbedrijf tijdelijke mitigaties beschikbaar gesteld.

Exchange Server beschikt over de Emergency Mitigation Service die standaard staat ingeschakeld en automatisch door Microsoft beschikbaar gestelde mitigaties op de server uitvoert. Deze mitigaties moeten aanvallen tegengaan. Organisaties bij wie de Emergency Mitigation Service niet staat ingeschakeld moeten die inschakelen om de tijdelijke mitigatie van Microsoft te ontvangen, aldus het techbedrijf. Organisaties die deze service niet willen inschakelen kunnen als alternatief de Exchange on-premises Mitigation Tool (EOMT) installeren en de mitigatie handmatig per server uitvoeren.

Het uitvoeren van de automatische of handmatige mitigatie heeft verschillende gevolgen. Zo kan de OWA Print Calendar functionaliteit niet meer werken en kan het zijn dat inline afbeeldingen niet goed meer worden weergegeven. Ook zal OWA light niet goed meer functioneren. Verdere details over de kwetsbaarheid of waargenomen aanvallen zijn niet door Microsoft gegeven.