מיקרוסופט אישרה באמצע מאי ניצול פעיל של פגיעות חדשה ברכיב ה-Outlook Web Access של שרתי Exchange מקומיים. הפגיעות, שמסומנת CVE-2026-42897 וקיבלה ציון חומרה 8.1, היא מסוג Cross-Site Scripting, ומה שמדאיג בה הוא שהיא לא דורשת שום פריצה מוקדמת לשרת.
שרשרת התקיפה מתחילה מחוץ לארגון לגמרי. התוקף שולח מייל בנוי בקפידה, וברגע שהנמען פותח אותו בממשק ה-OWA בדפדפן, קוד JavaScript זדוני רץ בתוך ה-session המאומת שלו. מכאן הדרך קצרה לגניבת אסימוני התחברות, התחזות לתיבת הדואר וקריאה של מיילים רגישים, בלי שהתוקף נגע אי פעם בשרת עצמו.
למי זה רלוונטי
הפגיעות נוגעת לשרתי Exchange Server 2016, 2019 ו-Subscription Edition בכל רמות העדכון. מי שכבר עבר לחלוטין ל-Exchange Online לא מושפע. בפועל, הרבה משרדי עורכי דין ורואי חשבון בישראל עדיין מריצים Exchange מקומי או היברידי, מתוך הרגל או מתוך חשש מהענן, ודווקא הם נמצאים בקו האש כאן.
הבעיה החריפה היא שבזמן הפרסום עדיין לא היה תיקון קבוע, אלא רק הקלה (mitigation) שמופצת דרך שירות Exchange Emergency Mitigation. השירות הזה דולק כברירת מחדל מאז ספטמבר 2021, אבל לא בכל ארגון הוא מאופשר או מתוחזק.
מה לעשות עכשיו
הצעד הראשון הוא לוודא ששירות ה-Emergency Mitigation דולק ושההקלה בעלת המזהה M.2.1.0 הוחלה בפועל. אם השרת מנותק מהאינטרנט או שהשירות כבוי, מיקרוסופט מפרסמת כלי הקלה ידני שצריך להריץ. אחרי זה כדאי לעבור על לוגים של גישות OWA חריגות ולחפש סימני שימוש לרעה ב-session.
במבט רחב יותר, אירוע כזה הוא תזכורת טובה לשאלה שחוזרת אצלנו בכל פגישת ייעוץ: כמה זמן עוד שווה להחזיק שרת מייל מקומי כשהפלטפורמה הענן כבר לא חשופה לאותה משפחת פגיעויות. זה לא מעבר שעושים בלחיצת כפתור, אבל זה שיקול שצריך להיות על השולחן.
כתבנו לא מזמן על פגיעות דומה ב-SharePoint Server מקומי שכבר נוצלה בפועל, והתבנית חוזרת: שרת מיקרוסופט מקומי שחשוף לאינטרנט הוא יעד מתמשך. אם אתם לא בטוחים אם השרת שלכם מעודכן ומוגן נכון, דברו איתנו ונעבור על זה יחד.