كشفت مايكروسوفت عن ثغرة أمنية جديدة تؤثر على النسخ المحلية من خادم Exchange، مشيرة إلى أن هذه الثغرة بدأت تتعرض للاستغلال الفعلي في بيئات حقيقية. وتمثل هذه الثغرة، التي تحمل اسم CVE-2026-42897، تهديداً أمنياً جديداً للمؤسسات التي تعتمد على هذه التقنية.
تم وصف الثغرة بأنها عيب في تزوير الهوية (spoofing) ناتج عن خلل في البرمجة النصية عبر المواقع (XSS). ووفقاً لمايكروسوفت، يمكن للمهاجم استغلال هذه الثغرة عن بعد دون الحاجة إلى مصادقة.
ثغرة CVE-2026-42897 في خادم Exchange
تتعلق الثغرة الأمنية، المعروفة بالمعرف CVE-2026-42897، بآلية معالجة المدخلات بشكل غير صحيح أثناء توليد صفحات الويب، مما يفتح الباب أمام هجمات البرمجة النصية عبر المواقع (XSS). وتسمح هذه الثغرة لمهاجم غير مصرح له بتزوير هوية المرسل عند إرسال رسائل البريد الإلكتروني.
وأشارت مايكروسوفت إلى أن هذه الثغرة تحمل تقييم “تم اكتشاف الاستغلال” (Exploitation Detected)، مما يعني وجود أدلة على استخدامها من قبل جهات خبيثة. يمكن للمهاجم استغلال الثغرة عن طريق إرسال بريد إلكتروني مصمم خصيصاً إلى مستخدم. وعند فتح هذا البريد في Outlook Web Access، وفي ظل شروط تفاعل معينة، يمكن تنفيذ تعليمات برمجية (JavaScript) بشكل تعسفي ضمن سياق المتصفح.
التأثير على النسخ المحلية والحلول المقترحة
أوضحت الشركة أن نسخ Exchange Online غير متأثرة بهذه الثغرة. ومع ذلك، فإن النسخ المحلية من خادم Exchange التالية هي الأكثر عرضة للخطر:
- Exchange Server 2016 (بجميع مستويات التحديث)
- Exchange Server 2019 (بجميع مستويات التحديث)
- Exchange Server Subscription Edition (SE) (بجميع مستويات التحديث)
في المقابل، تتيح مايكروسوفت حلاً مؤقتاً للتخفيف من آثار الثغرة عبر خدمة Exchange Emergency Mitigation Service. تعمل هذه الخدمة تلقائياً على تطبيق التكوينات اللازمة لمنع استغلال الثغرة، ويتم تفعيلها افتراضياً. وفي حال عدم تفعيل الخدمة، تنصح الشركة بتمكينها يدوياً.
خطوات إضافية للتخفيف من الثغرة
بالنسبة للمؤسسات التي لا يمكنها استخدام خدمة التخفيف للطوارئ بسبب قيود الاتصال (air-gap)، قدمت مايكروسوفت مجموعة من الإجراءات البديلة. تتضمن هذه الإجراءات تنزيل أحدث إصدار من أداة التخفيف لخوادم Exchange المحلية (EOMT) وتطبيقها على الخوادم بشكل فردي أو جماعي.
هناك أيضاً معلومات متوفرة حول مشكلة معروفة حيث قد يظهر التخفيف بملاحظة “Mitigation invalid for this exchange version” في حقل الوصف. وأكدت مايكروسوفت أن هذا الأمر هو مجرد خلل شكلي وأن التخفيف يكون قد تم تطبيقه بنجاح إذا أظهرت الحالة “Applied”.
حتى الآن، لا توجد تفاصيل واضحة حول كيفية استغلال الثغرة، أو هوية الجهات الفاعلة وراء هذه الهجمات، أو نطاق هذه الجهود. كما أنه من غير الواضح من هم المستهدفون وما إذا كانت أي من هذه الهجمات قد نجحت. وبالتالي، يُنصح بشدة بتطبيق إجراءات التخفيف التي توصي بها مايكروسوفت لحماية الأنظمة.