Jeśli administrujesz on-premises Exchange Server — sprawdź czy Exchange Emergency Mitigation Service (EEMS) jest włączony. Na serwerach z włączonym EEMS mitigacja M2.1.x została już zastosowana automatycznie. Weryfikacja statusu: Get-ExchangeDiagnosticInfo -Server <nazwa> -Process EdgeTransport -Component ResourceThrottling. Dla środowisk bez dostępu do internetu: pobierz Exchange On-premises Mitigation Tool ręcznie i uruchom z podwyższonego Exchange Management Shell z parametrem -CVE "CVE-2026-42897".
Dwie znane usterki po zastosowaniu mitigacji: drukowanie kalendarza OWA może nie działać, obrazy inline mogą nie wyświetlać się poprawnie. Obejście: Outlook Desktop Client.
Exchange Online nie jest dotknięty.
14 maja, dwa dni po Patch Tuesday który nie miał żadnych zero-dayów: Microsoft ogłasza CVE-2026-42897 i aktywną eksploitację. Tej samej nocy Orange Tsai z DEVCORE na scenie Pwn2Own w Berlinie łączy trzy błędy w osobny łańcuch RCE z uprawnieniami SYSTEM na tym samym Exchange, i zarabia 200 000 dolarów — najwyższą nagrodę całego konkursu.
Dwa ataki, 48 godzin, ten sam serwer. Jeden już trwa. Drugi pod 90-dniowym embargo.
Jak CVE-2026-42897 działa
Mechanizm jest deceptywnie prosty, jak opisuje to Cyber Kendra: atakujący wysyła spreparowany email do celu. Jeśli ofiara otworzy go w Outlook Web Access i spełnione zostaną "pewne warunki interakcji" — dowolny JavaScript wykonuje się w kontekście przeglądarki.
Te "certain interaction conditions" to prawdopodobnie konieczność otwarcia wiadomości (nie tylko podglądu), choć Microsoft nie sprecyzował dokładnie. Efekt: session token kradzież, przekierowanie do złośliwej strony, wykonanie operacji w imieniu ofiary — cokolwiek JavaScript może zrobić w zalogowanej sesji OWA.
OWA to nie jest egzotyczna funkcja — to podstawowy sposób dostępu do firmowej poczty przez przeglądarkę, używany przez miliony pracowników codziennie. XSS przez email oznacza że atakujący nie musi siedzieć w sieci, nie musi łamać żadnych haseł. Wysyła email. Czeka.
CVSS 8.1. Aktywna eksploitacja potwierdzona przez Microsoft. CISA dodała do KEV 15 maja z terminem dla agencji federalnych do 29 maja. Łatki nie ma.
Dwa dni po Patch Tuesday
Notebookcheck odnotowuje ironię precyzyjnie: "The timing sits at the other end of the vulnerability lifecycle from proactive discovery. Microsoft's MDASH AI model recently identified 16 critical Windows flaws before attackers could reach them — a detection approach that CVE-2026-42897 bypassed entirely."
MDASH — system AI który znalazł 16 podatności w Patch Tuesday który opisywaliśmy przy okazji vulnpocalypse — pomógł Microsoft wykryć i naprawić flagi zanim atakujący je znaleźli. CVE-2026-42897 pojawił się dwa dni po tym wydaniu. Nie dlatego że MDASH jest zły — dlatego że Exchange jest dużym systemem i żaden program nie gwarantuje że znajdzie wszystko przed wszystkimi.
Tradycyjna odpowiedź na "dlaczego Patch Tuesday nie miał tego zero-daya" brzmi: Microsoft nie wiedział. Nie dlatego że nie szukał — dlatego że podatność była eksploitowana bez uprzedniego odkrycia przez żadną ze stron.
Osobny łańcuch Orange Tsai — i dlaczego to ważne
Parallel development jest tu interesujący i warto go opisać wprost.
CVE-2026-42897 to XSS który daje JavaScript w kontekście OWA. Poważny — ale to nie jest pełne przejęcie serwera.
Łańcuch Orange Tsai z Pwn2Own to coś innego: trzy połączone błędy dające zdalne wykonanie kodu z uprawnieniami SYSTEM na w pełni zaktualizowanym Exchange. Szczegóły pod 90-dniowym embargo, ale wynik jest znany — 200 000 dolarów nagrody i potwierdzone RCE na scenie.
Dwa kompletnie różne podatności w tym samym oprogramowaniu, odkryte niezależnie przez dwa niezależne podmioty, w ciągu 48 godzin. Jeden jest już eksploitowany w atakach. Drugi dostanie 90 dni żeby vendor go naprawił — i potem również zostanie ujawniony.
Exchange ma niecałe dwa miesiące spokoju zanim drugi łańcuch zostanie opublikowany.
Kto jest wyłączony z łatki
Jest jeden szczegół w advisory Microsoftu który zasługuje na oddzielne zdanie.
Exchange 2016 i 2019 dostaną łatkę — ale wyłącznie dla klientów enrolled w Period 2 Extended Security Update. Period 1 ESU zakończył się w kwietniu 2026. Organizacje które płaciły za Period 1 żeby utrzymać support dla starszego Exchange — i nie przeszły na Period 2 — nie dostaną łatki dla tej podatności.
Zostają z mitigacją przez EEMS (która działa ale łamie część funkcjonalności OWA) i bez perspektywy stałej poprawki jeśli nie zarejestrują się w Period 2 ESU lub nie zaktualizują na nową wersję.
CISA's KEV katalog liczy już blisko dwa tuziny wpisów dla podatności Exchange. On-premises Exchange jest infrastrukturą krytyczną dla rządów, banków i dużych organizacji które jeszcze nie przeszły na chmurę. Każda nowa aktywnie eksploitowana podatność bez łatki jest wymuszonym testem cierpliwości dla tych organizacji.
Źródła
BleepingComputer — szczegóły CVE i mitigacji z opisem usterek po zastosowaniu: https://www.bleepingcomputer.com/news/microsoft/microsoft-warns-of-exchange-zero-day-flaw-exploited-in-attacks/
Cyber Kendra — analiza z kontekstem Pwn2Own i Orange Tsai: https://www.cyberkendra.com/2026/05/microsoft-exchange-zero-day-exploited.html
Microsoft Tech Community — oficjalny blog Exchange Team z instrukcjami: https://techcommunity.microsoft.com/blog/exchange/addressing-exchange-server-may-2026-vulnerability-cve-2026-42897/4518498
Notebookcheck — ironia z MDASH i timing po Patch Tuesday: https://www.notebookcheck.net/Microsoft-Exchange-Server-zero-day-exploited-via-crafted-email.1298885.0.html
Help Net Security — szczegóły dla administratorów i warunki exploitacji: https://www.helpnetsecurity.com/2026/05/15/exchange-server-cve-2026-42897-exploited/
Nie nowy atak, tylko naprawiony błąd. Co łatka Gemini CLI mówi o tym, że tryb –yolo w potoku CI/CD to nie jest dobry pomysł