كشفت شركة Microsoft عن ثغرة أمنية جديدة في إصدارات Exchange Server المخصصة للنشر المحلي (On-Prem)، مؤكدة أنها تخضع لاستغلال نشط في الهجمات الواقعية. الثغرة، التي تحمل الرمز CVE-2026-42897، حصلت على تقييم خطورة 8.1 وفق معيار CVSS، وتعود إلى خلل في معالجة مدخلات صفحات الويب أدى إلى ثغرة XSS (Cross-Site Scripting) يمكن استغلالها في عمليات انتحال الهوية.
آلية الاستغلال
وفقًا لإشعار Microsoft، فإن الخلل يسمح للمهاجم غير المصادق بتنفيذ هجمات انتحال عبر الشبكة. يتم ذلك من خلال إرسال بريد إلكتروني مصمم بعناية إلى المستخدم، حيث يؤدي فتح الرسالة في واجهة Outlook Web Access (OWA)، مع توفر ظروف تفاعل معينة، إلى تشغيل شيفرة JavaScript عشوائية في سياق المتصفح. هذا يتيح للمهاجم تنفيذ أوامر أو سرقة بيانات اعتماد المستخدم.
الإصدارات المتأثرة
الثغرة تؤثر على جميع مستويات التحديث في الإصدارات التالية:
- Exchange Server 2016
- Exchange Server 2019
- Exchange Server Subscription Edition (SE)
من المهم الإشارة إلى أن Exchange Online غير متأثر بهذه الثغرة.
إجراءات التخفيف المؤقتة
أعلنت Microsoft أنها وفرت حلًا مؤقتًا عبر خدمة Exchange Emergency Mitigation Service، والتي تعمل افتراضيًا وتطبق إجراءات إعادة كتابة لعناوين URL لحجب الاستغلال. إذا كانت الخدمة غير مفعلة، يُنصح المستخدمون بتفعيلها يدويًا عبر إعدادات Windows Service.
أما في البيئات المعزولة (Air-Gap)، فقد أوصت الشركة باستخدام أداة Exchange On-Premises Mitigation Tool (EOMT) عبر أوامر PowerShell.
ملاحظات إضافية
أشارت Microsoft إلى وجود مشكلة معروفة حيث قد يظهر وصف التخفيف على أنه “Mitigation invalid for this exchange version”، مؤكدة أن هذا خطأ شكلي وأن التخفيف يُطبق بنجاح إذا ظهر الوضع على أنه “Applied”.
حتى الآن، لا توجد تفاصيل مؤكدة حول هوية الجهات المهاجمة أو حجم الاستغلال أو الأهداف المحددة، لكن الشركة شددت على ضرورة تطبيق إجراءات التخفيف فورًا لحماية الأنظمة.
