Patch Tuesday — 9 czerwca. Microsoft domyka comiesięczny cykl łatek, ale dwie rzeczy czynią to wydanie nietypowym. Pierwsza: zawiera trwałą poprawkę na zero-day w Exchange, który był aktywnie eksploatowany od 14 maja — czyli przez około 27 dni organizacje na on-premise Exchange żyły z eksploatowaną luką i tylko tymczasową mitygacją. Druga: jest ostatnim zaplanowanym oknem, by zdążyć z migracją certyfikatów Secure Boot przed nieprzekraczalnym terminem pod koniec czerwca.
Ale dla cyberflux najciekawsze jest co innego. Mechanizm tego zero-daya w Exchange — XSS w mailu renderowanym przez Outlook Web Access — to dokładnie ten sam wzorzec, który opisujemy od tygodni przy ChatGPhish i Gemini. Zaufany interfejs renderuje treść atakującego jako własną. Tyle że tutaj interfejsem jest twoja firmowa poczta.
CVE-2026-42897: jeden mail, twoja sesja OWA
Zacznijmy od mechanizmu, bo jest pouczający. CVE-2026-42897 to cross-site scripting w komponencie Outlook Web Access serwera Exchange — wersje 2016, 2019 i Subscription Edition. CVSS 8.1. Exchange Online (czyli Microsoft 365) nie jest dotknięty — to wyłącznie problem on-premise.
Ścieżka ataku jest uderzająco prosta. Atakujący wysyła specjalnie spreparowany e-mail. Jeśli odbiorca otworzy go w Outlook Web Access i spełnione są pewne warunki interakcji, dowolny JavaScript wykonuje się w jego uwierzytelnionej sesji przeglądarki — bez konieczności, by atakujący kiedykolwiek dotknął samego serwera.
Zwróć uwagę na to ostatnie. Exploit nie zaczyna się od przejęcia serwera. Ładunkiem jest sama treść e-maila — nie zrzucony plik wykonywalny, nie implant po stronie serwera. To czyni skutki specyficznymi: kradzież tokenu sesji, podszywanie się pod skrzynkę, manipulacja regułami poczty. Atakujący nie przejmuje Exchange'a; przejmuje sesję użytkownika w OWA i działa jako on.
Reguły przekierowań są tu szczególnie groźne. Jak ostrzegają analitycy, każda reguła przekazująca pocztę do zewnętrznej domeny, której nie rozpoznajesz, jest wskaźnikiem kompromitacji. Atakujący, który raz wykona kod w sesji OWA, może ustawić ciche przekazywanie całej korespondencji ofiary na zewnątrz — i to przetrwa nawet po nałożeniu mitygacji, bo mitygacja blokuje nowy atak, nie usuwa wcześniej ustanowionej trwałości.
To jest dokładnie ten sam wzorzec, który opisujemy od tygodni
Tu jest sedno, dla którego ten zero-day to dla nas coś więcej niż pozycja w Patch Tuesday.
XSS w mailu renderowanym przez OWA to jest mechanicznie ten sam atak co ChatGPhish, gdzie ChatGPT renderował Markdown atakującego jako własną odpowiedź, i Gemini, gdzie zatrute powiadomienie stawało się instrukcją dla asystenta. We wszystkich trzech przypadkach zaufany interfejs przyjmuje treść z zewnątrz i renderuje ją jako swoją — z całym zaufaniem, jakim użytkownik darzy ten interfejs.
Przy ChatGPhish interfejsem był ChatGPT. Przy Gemini — asystent na Androidzie. Tutaj jest to Outlook Web Access: firmowa poczta, której pracownik ufa bez zastanowienia, bo to jest narzędzie, którego używa codziennie. Użytkownik nie ma czego sprawdzać — URL to prawdziwy serwer Exchange jego firmy, certyfikat jest ważny, interfejs jest prawdziwy. Tylko treść w środku wiadomości pochodzi od atakującego, a OWA renderuje ją w uwierzytelnionym kontekście ofiary.
Różnica jest taka, że ChatGPhish i Gemini to były ataki na agentów AI. Exchange to klasyczny serwer pocztowy, technologia sprzed dekady. A jednak klasa podatności jest identyczna: system renderuje niezaufaną treść jako zaufaną. To pokazuje, że problem, który OWASP nazwał wczoraj przy agentach AI, nie jest specyficzny dla AI — jest fundamentalną klasą, która dotyczy każdego interfejsu renderującego cudzą treść. AI tylko rozszerzyło powierzchnię, na której ta klasa się pojawia.
27 dni okna ekspozycji
Oś czasu tego zero-daya jest sama w sobie tematem — i wiąże się z czymś, co krytykowaliśmy przy wycieku NTLM w Windows.
14 maja Microsoft potwierdził aktywną eksploatację CVE-2026-42897 — dwa dni po majowym Patch Tuesday, który załatał 120 innych luk, ale nie tę. 15 maja CISA dodała ją do katalogu KEV z terminem dla agencji federalnych na 29 maja. Ale trwałej łatki nie było — tylko tymczasowa mitygacja przez Exchange Emergency Mitigation Service, działająca przez przepisywanie adresów URL. Dopiero dziś, 9 czerwca, na regularnym Patch Tuesday, Microsoft wydaje trwałą poprawkę.
To jest około 27 dni między potwierdzeniem aktywnej eksploatacji a trwałą łatką. Przez ten czas obrońcy mieli do dyspozycji mitygację, która — co kluczowe — zatrzymywała nowe ataki, ale nie robiła nic z trwałością już ustanowioną. Organizacja, która została zaatakowana przed włączeniem mitygacji, mogła przez te tygodnie nadal przekazywać pocztę na zewnątrz, nie wiedząc o tym.
To jest okno ekspozycji w czystej postaci — i przypomnienie, że model „łatamy w miesięcznym cyklu" zakłada, że przeciwnik czeka na ten cykl. Nie czeka. Eksploatacja była aktywna na długo przed łatką, a w świetle dzisiejszej premiery Claude Fable 5 tempo znajdowania takich błędów tylko rośnie. Miesięczny cykl łatania i narzędzia działające w tempie maszyny to coraz większa rozbieżność.
Drugi wątek: SharePoint i deadline Secure Boot
Dwie inne rzeczy w tym wydaniu zasługują na uwagę.
SharePoint RCE. CVE-2026-45659 to luka zdalnego wykonania kodu w SharePoint Server, na tyle poważna, że Microsoft wydał ją poza cyklem 21 maja, a teraz wciąga do czerwcowego Patch Tuesday. Jeśli prowadzisz SharePoint on-premise, to jest druga pozycja wysokiego priorytetu obok Exchange.
Deadline Secure Boot. To jest wątek operacyjny, który dotyczy znacznie szerszej grupy niż Exchange czy SharePoint. Certyfikaty UEFI Secure Boot z 2011 roku zaczynają wygasać pod koniec czerwca. Dzisiejszy Patch Tuesday jest ostatnim zaplanowanym oknem, by sfinalizować migrację na nowsze certyfikaty Windows UEFI CA 2023. Urządzenia, które nie zmigrują, będą nadal działać normalnie — ale stracą zdolność otrzymywania nowych zabezpieczeń wczesnej fazy rozruchu: aktualizacji Windows Boot Manager, baz Secure Boot i list unieważnień podatności.
Konsekwencja jest poważna i warto ją nazwać wprost: na niezmigrowanym urządzeniu malware na poziomie rozruchu (bootkit) stanie się niewykrywalny i nieusuwalny standardowymi narzędziami. To nie jest pilne w sensie „zaatakują cię jutro", ale jest nieodwracalne w sensie „po terminie nie ma ścieżki powrotu" bez znacznie poważniejszej interwencji. Dla zespołów zarządzających flotą to jest realny, twardy termin — i dlatego dzisiejsze wydanie jest checkpointem, nie rutyną.
Co zrobić
Exchange on-premise — priorytet pierwszy. Zastosuj dzisiejszą trwałą łatkę (Exchange SE RTM, 2016 CU23, 2019 CU14/CU15) natychmiast. Ale łatka nie wystarcza: zaudytuj reguły skrzynek pod kątem nieznanych przekierowań na zewnętrzne domeny, przejrzyj logi co najmniej 10 dni wstecz (eksploatacja trwała przed 14 maja), i zweryfikuj, że Exchange Emergency Mitigation Service był aktywny. Jeśli byłeś eksploatowany przed mitygacją, trwałość mogła już zostać ustanowiona — łatka jej nie usunie.
Rozważ, czy OWA musi być wystawiony do internetu. Ograniczenie dostępu do OWA za VPN lub bramę dostępu warunkowego eliminuje zewnętrznie osiągalną powierzchnię ataku całkowicie.
SharePoint on-premise — zastosuj CVE-2026-45659, jeśli nie zrobiłeś tego przy wydaniu out-of-band.
Secure Boot — jeśli zarządzasz flotą, to jest twoje ostatnie zaplanowane okno przed wygaśnięciem certyfikatów 2011. Zweryfikuj migrację na Windows UEFI CA 2023 i przetestuj aktualizacje bazy dbx, bo niesprawdzone niosą ryzyko awarii rozruchu. Po terminie pod koniec czerwca nie ma ścieżki naprawy bez poważnej interwencji.
Źródła
Help Net Security — prognoza czerwcowego Patch Tuesday i kontekst CVE-2026-42897: https://www.helpnetsecurity.com/2026/06/05/june-2026-patch-tuesday-forecast/
byteiota — analiza mechanizmu Exchange OWA XSS i wskaźników kompromitacji w regułach skrzynek: https://byteiota.com/exchange-zero-day-cve-2026-42897-owa-mitigation/
TechTimes — oś czasu zero-daya i luki w mitygacji EEMS: https://www.techtimes.com/articles/316860/20260519/exchange-server-owa-zero-day-cve-2026-42897-exploited-no-permanent-patch-new-mitigation-gaps.htm
Notebookcheck — deadline Secure Boot i kontekst migracji certyfikatów: https://www.notebookcheck.net/Microsoft-s-June-2026-Patch-Tuesday-High-Stakes-Updates-and-Hidden-Features.1318347.0.html
All IT Services — priorytetyzacja Exchange i status mitygacji EEMS: https://allitservices.com.au/june-2026-patch-tuesday-exploited-exchange-flaw/
Nie nowy atak, tylko naprawiony błąd. Co łatka Gemini CLI mówi o tym, że tryb –yolo w potoku CI/CD to nie jest dobry pomysł