Positive Technologies признала трендовой уязвимость в веб-версии Outlook

Эксперты Positive Technologies отнесли к трендовой уязвимости в Outlook Web Access (OWA), позволяющей злоумышленнику красть конфиденциальные данные, а также выполнять действия от имени пользователя в веб-интерфейсе Exchange.

Трендовыми уязвимостями называются наиболее опасные недостатки безопасности в инфраструктуре компаний, требующие оперативного устранения или принятия компенсирующих мер. Они либо уже активно эксплуатируются злоумышленниками, либо могут быть использованы ими в ближайшее время. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей и эксплойтов, бюллетеней безопасности вендоров, социальных сетей, блогов, Telegram-каналов, публичных репозиториев кода. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями MaxPatrol VM, в которую информация об угрозах поступает в течение 12 часов с момента их появления.

Недостаток безопасности PT-2026-40978 (CVE-2026-42897) связан с некорректной обработкой пользовательского ввода при генерации веб‑страниц в Outlook Web Access и позволяет злоумышленнику выполнить вредоносный JavaScript-код в браузере.

Для эксплуатации уязвимости атакующему достаточно отправить специально сформированное письмо и вынудить жертву открыть его в OWA. В результате злоумышленник может получить контроль над почтовым ящиком, что позволит ему похищать конфиденциальные данные, а также выполнять действия от имени пользователя в веб-интерфейсе Exchange.

Чтобы защититься, необходимо установить обновление безопасности, которое представлено на официальных страницах Microsoft. Кроме того, вендор рекомендует оставить введенные ранее компенсирующие меры. Серверы Exchange 2016 и 2019, поддержка которых уже прекращена, остаются уязвимыми. Получить официальные обновления безопасности Microsoft, выпущенные с мая по октябрь 2026 года, смогут только клиенты, оформившие подписку на программу расширенной поддержки Period 2 Extended Security Update (ESU).

Positive Technologies
Автор: Positive Technologies
Positive Technologies — ведущий разработчик решений для информационной безопасности. Наши технологии и сервисы используют более 2300 организаций по всему миру, в том числе 80% компаний из рейтинга «Эксперт-400». Уже 20 лет наша основная задача — предотвращать хакерские атаки до того, как они причинят неприемлемый ущерб бизнесу и целым отраслям. Positive Technologies — первая и единственная публичная компания из сферы кибербезопасности на Московской бирже (MOEX: POSI).
Комментарии: