Positive Technologies признала трендовой уязвимость в веб-версии Outlook
Эксперты Positive Technologies отнесли к трендовой уязвимости в Outlook Web Access (OWA), позволяющей злоумышленнику красть конфиденциальные данные, а также выполнять действия от имени пользователя в веб-интерфейсе Exchange.
Трендовыми уязвимостями называются наиболее опасные недостатки безопасности в инфраструктуре компаний, требующие оперативного устранения или принятия компенсирующих мер. Они либо уже активно эксплуатируются злоумышленниками, либо могут быть использованы ими в ближайшее время. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей и эксплойтов, бюллетеней безопасности вендоров, социальных сетей, блогов, Telegram-каналов, публичных репозиториев кода. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями MaxPatrol VM, в которую информация об угрозах поступает в течение 12 часов с момента их появления.
Недостаток безопасности PT-2026-40978 (CVE-2026-42897) связан с некорректной обработкой пользовательского ввода при генерации веб‑страниц в Outlook Web Access и позволяет злоумышленнику выполнить вредоносный JavaScript-код в браузере.
Для эксплуатации уязвимости атакующему достаточно отправить специально сформированное письмо и вынудить жертву открыть его в OWA. В результате злоумышленник может получить контроль над почтовым ящиком, что позволит ему похищать конфиденциальные данные, а также выполнять действия от имени пользователя в веб-интерфейсе Exchange.
Чтобы защититься, необходимо установить обновление безопасности, которое представлено на официальных страницах Microsoft. Кроме того, вендор рекомендует оставить введенные ранее компенсирующие меры. Серверы Exchange 2016 и 2019, поддержка которых уже прекращена, остаются уязвимыми. Получить официальные обновления безопасности Microsoft, выпущенные с мая по октябрь 2026 года, смогут только клиенты, оформившие подписку на программу расширенной поддержки Period 2 Extended Security Update (ESU).



