ثغرة XSS فـ Microsoft Exchange Server (CVE-2026-42897) تحت الاستغلال النشط

خلاصة القول: علنات Microsoft على ثغرة CVE-2026-42897، لي هي ثغرة XSS فـ إصدارات on-premises ديال Exchange Server، وهاد الثغرة ديجا كتعرض للاستغلال النشط. هاد الخلل كيعطي لـ مهاجم فرصة باش ينفذ كود JavaScript عشوائي فـ المتصفح ديال المستخدم عن طريق إيميل مخدوم (crafted) ملي كيتحل فـ Outlook Web Access. فهاد الوقت، Microsoft وفرات حل وتخفيف مؤقت عن طريق Exchange Emergency Mitigation Service بيما يوجدو ترقيع نهائي.

أشنو واقع

خرجات Microsoft تقرير أمني فهاد شهر ماي كيكشف على ثغرة XSS فـ Exchange Server المتبت محلياً (on-premises). هاد الثغرة لي كتحمل الكود CVE-2026-42897 (والتقييم ديالها 8.1 فـ CVSS)، جات من مشكل فـ input neutralization ملي كتتنشأ صفحة الويب. Microsoft عطاتها تقييم "Exploitation Detected"، وهادشي كيعني أن كاين استغلال حقيقي فـ الواقع.

طريقة الهجوم (attack vector) باينة ومباشرة: أي مهاجم كيصيفط إيميل مخدوم للمستخدم المستهدف. ملي كيتحل هاد الإيميل فـ Outlook Web Access وكيتم التفاعل معاه بـ شروط معينة، الثغرة كتسمح بتنفيذ كود JavaScript عشوائي فـ سياق المتصفح. هادشي كيحل الباب لـ هجمات الانتحال (spoofing) — لي تقدر تشمل سرقة بيانات اعتماد، ولا اختطاف الجلسة (session hijacking)، أو اختراقات أخرى من جيهة العميل (client-side).

واحد باحث أمني مجهول هو لي كتاشف الثغرة وبلغ بيها Microsoft. التقرير الأمني ما حددش شكون هوما أي فاعل تهديد لي كيستغلها، ولا الحجم ديال هاد جهود الاستغلال، ولا واش نجحات شي هجمات لحد الآن. هاد التفاصيل مازال مامعروفاش.

علاش هادشي مهم

الـ Exchange Server كيتعبر مكون أساسي فـ البنية التحتية ديال الإيميلات فـ بزاف ديال الشركات والمؤسسات فـ منطقة MENA. الاستخدام ديال on-premises deployments مازال واسع النطاق، خصوصا فـ القطاعات المتقننة والشركات لي عندها شروط صارمة على فين خاص تبقى البيانات (data residency).

أي ثغرة XSS فـ الواجهة ديال الويب كتكون خطيرة بزاف حيت خدامة فـ طبقة المتصفح (browser layer)—يعني المدافعين ما يقدروش يحبسوها غير فـ حدود الشبكة (network perimeter) بوحدها. المستخدمين لي كيتفاعلو مع شي إيميل مفبرك كيوليو هوما سطح الهجوم (attack surface). التقييم 8.1 فـ CVSS كيعكس الخطورة ديالها: وخا الثغرة كتحتاج تفاعل ديال المستخدم، التأثير ديالها كبير بزاف.

بالنسبة لـ محللي الـ SOC والمدافعين، هادشي كيعني خاصنا نراقبو أي محاولات استغلال فـ سجلات الإيميلات (email logs) والأنماط ديال الوصول للويب. وبالنسبة لـ مسؤولي النظم لي كيجيريو (manage) الـ Exchange، السؤال المباشر دابا هو واش البيئة ديالكم خدامة بـ نسخة متضررة و واش الإجراءات التخفيفية المؤقتة تفعلات. أما بالنسبة لـ أي مطور كيخدم مع Exchange أو كيبني على Outlook Web Access، هادي راها تفكيرة بـ المخاطر ديال XSS لي مازال كاينة فـ واجهات الإيميل لي كتقابل الويب.

الأنظمة المتضررة و CVEs

• Microsoft Exchange Server 2016 (جميع مستويات التحديث)
• Microsoft Exchange Server 2019 (جميع مستويات التحديث)
• Microsoft Exchange Server Subscription Edition (SE) (جميع مستويات التحديث)
• Outlook Web Access

CVE: CVE-2026-42897

ملاحظة: Exchange Online مامقياصش بـ هاد الثغرة.

أشنو خاصنا نديرو

• فعّلوا Exchange Emergency Mitigation Service: هاد الخدمة كتكون مفعلة افتراضياً وكتطبق التخفيف بوحدها عن طريق إعدادات URL rewrite. يلا كانت موقفة، خاصكم تخدمو هاد الخدمة ديال Windows.

• بالنسبة للبيئات المعزولة عن الأنترنت (air-gapped)، استعملو أداة Exchange on-premises Mitigation Tool (EOMT):

  • تيليشارجيو آخر نسخة من aka[.]ms/UnifiedEOMT
  • شغلو السكريبت عن طريق Exchange Management Shell بصلاحيات عالية (elevated)
  • لسيرڤر واحد: .\EOMT.ps1 -CVE "CVE-2026-42897"
  • لكاع السيرڤورات: Get-ExchangeServer | Where-Object { $_.ServerRole -ne "Edge" } | .\EOMT.ps1 -CVE "CVE-2026-42897"

• ردو البال لـ واحد المشكل شكلي (cosmetic issue) معروف: يقدر يبان فـ أداة EOMT ميساج كيقول "Mitigation invalid for this exchange version." فخاندة ديال الوصف (Description). صرحات Microsoft باللي هادا غير مشكل شكلي، وأن التخفيف كيكون تطبق بنجاح يلا كانت الحالة (status) كتبين "Applied".

• تسناو الترقيع النهائي: Microsoft راها كتوجد ترقيع دائم لـ هاد الثغرة. ما كايناش شي تفاصيل فـ التقرير على فوقاش غادي يخرج بالضبط.

أسئلة مازال مفتوحة

• كيفاش كيتدار الاستغلال ديال هاد الثغرة فالواقع؟ وشنو هي التقنيات المحددة ولا حمولة (payload) لي كيخدمو بيها أي فاعل تهديد؟
• شنو هي المؤسسات ولا القطاعات لي مستهدفة بهاد الهجمات؟
• واش كاين شي استغلال لي نجح، ويلا كان، شنو كانت النتيجة ديالو؟
• قداش الحجم ديال جهود الاستغلال النشط؟
• فوقاش غادي تخرج Microsoft الترقيع النهائي؟

Source

On-Prem Microsoft Exchange Server CVE-2026-42897 Exploited via Crafted Email