ثغرة يوم الصفر في Microsoft Exchange يتم استغلالها بنشاط في الهجمات الفعلية
أكدت مايكروسوفت الاستغلال النشط لثغرة يوم الصفر في Exchange Server، المسجلة باسم CVE-2026-42897. تؤثر الثغرة على مكون Outlook Web Access (OWA) وتسمح لمهاجم غير مصرح به بتنفيذ هجمات انتحال ضد خوادم Exchange Server 2016 و2019 المحدثة بالكامل.
الثغرة خطيرة بشكل خاص لأنه يمكن تفعيلها ببساطة بفتح المستهدف لبريد إلكتروني خبيث، دون الحاجة إلى أي تفاعل إضافي. كشفت مايكروسوفت عن الثغرة في 14 مايو ضمن إرشاداتها الأمنية، ووصفت هجمات نشطة في الواقع.
حتى 25 مايو، لا يتوفر إصلاح دائم. أصدرت مايكروسوفت إرشادات تخفيف طارئة وتحث جميع مسؤولي Exchange Server على تطبيق التخفيفات الموصى بها فوراً.
هذه أحدث سلسلة من ثغرات Exchange Server الخطيرة التي استهدفت المؤسسات منذ هجمات ProxyLogon في 2021. يظل Exchange Server هدفاً عالي القيمة للمهاجمين بسبب انتشاره الواسع في بيئات المؤسسات ووصوله المباشر إلى بيانات البريد الإلكتروني والتقويم.
يُلاحظ أن المؤسسات التي تستخدم Exchange Server محلياً تواجه أعلى مخاطر، بينما عملاء Exchange Online (Microsoft 365) محميون ببنية مايكروسوفت السحابية.
شهر آخر وثغرة يوم صفر حرجة أخرى في Exchange. النمط واضح: Exchange المحلي هو مسؤولية مستمرة. المؤسسات التي لا تزال تستضيف بريدها الإلكتروني ذاتياً يجب أن تعامل هذا كنقطة بيانات إضافية في ملف تعجيل الانتقال إلى البريد السحابي.
ماذا يجب على مسؤولي Exchange Server فعله الآن؟
تطبيق تخفيفات مايكروسوفت الطارئة (قواعد إعادة كتابة URL في web.config) فوراً، وتدقيق سجلات OWA للبحث عن أنماط وصول غير عادية، ومراقبة الإصلاح الدائم القادم. عملاء Exchange Online وM365 غير متأثرين.