R
מחילת הארנב 17 במאי 2026 · 4 דק׳ קריאה

CVE-2026-42897: כשפתיחת מייל ב-Outlook Web מאפשרת השתלטות על החשבון שלך

אבטחת מידעXSSCVEMicrosoft Exchangeיום אפסמתחילים

דמיינו שאתם פותחים מייל שגרתי במחשב העבודה — ובאותו הרגע, מישהו מרחוק מקבל גישה מלאה לחשבון הארגוני שלכם. בלי להוריד קובץ. בלי ללחוץ על קישור חשוד. רק פתיחת המייל.

זה בדיוק מה שמאפשרת CVE-2026-42897 — חולשת יום-אפס ב-Microsoft Exchange Server שאושרה על ידי Microsoft כמנוצלת בפועל, ועל ידי CISA הוספה לרשימת הפגיעויות הידועות (KEV) ב-15 במאי 2026 — לפני יומיים בלבד.

מהו Exchange Server ומי בסיכון?

Microsoft Exchange Server הוא מערכת הדואר הארגונית הנפוצה בעולם — מאות אלפי ארגונים, מחברות קטנות ועד גופי ממשלה, מפעילים אותו. הממשק שדרכו משתמשי הקצה מתחברים מכל דפדפן נקרא Outlook Web Access (בקיצור: OWA).

החולשה משפיעה על כל הגרסאות המותקנות מקומית (On-Premises):

  • Exchange Server 2016
  • Exchange Server 2019
  • Exchange Server Subscription Edition (SE)

Exchange Online (Microsoft 365) אינו מושפע — הפגיעות רלוונטית רק לשרתי Exchange שמנוהלים על ידי הארגון עצמו, לא בענן של Microsoft.

הפגיעות הטכנית: XSS דרך תיבת הדואר

CVE-2026-42897 היא פגיעות מסוג XSSסקריפטינג חוצה-אתרים. XSS מתרחשת כאשר אפליקציה מציגה קלט חיצוני (כמו תוכן HTML של מייל) ישירות בדפדפן, מבלי לסנן אותו כראוי. התוצאה: קוד JavaScript שהוזרם על ידי התוקף רץ בדפדפן הקורבן — בהקשר של האתר הלגיטימי.

ציון ה-CVSS של הפגיעות הוא 8.1 — חמור. Microsoft הודתה בחולשה ב-14 במאי 2026, ויום לאחר מכן CISA הוסיפה אותה ל-Known Exploited Vulnerabilities Catalog שלה, המחייב סוכנויות פדרליות בארה”ב לתקן אותה עד 5 ביוני 2026.

שלב אחר שלב: איך המתקפה עובדת

1. הכנת המטען

התוקף מכין מייל שמכיל קוד JavaScript זדוני מוסתר בתוך תגי HTML של ההודעה. לדוגמה, ניתן להכניס JavaScript בתוך תכונות אירוע כמו onmouseover, בתגי <img> עם src שגוי, או בדרכים עקיפות אחרות — כל אחת מהן מנצלת את כשל הסינון של OWA.

2. שליחת המייל לקורבן

ניתן לשלוח את המייל לכל עובד בארגון שמשתמש ב-OWA. לתוקף אין צורך להכיר את הארגון לעומק — כל כתובת דואר עובדת.

3. הפתיחה וההרצה

הקורבן פותח את ההודעה ב-OWA. מכיוון ש-OWA לא מסנן את הקוד הזדוני כראוי, ה-JavaScript רץ אוטומטית בדפדפן — בהקשר הכתובת הלגיטימית של שרת Exchange הארגוני.

4. גניבת הסשן

הקוד גונב את עוגיית הסשן של הקורבן (ה-Authentication token שהדפדפן שולח עם כל בקשה), ומעביר אותה לשרת החיצוני של התוקף.

5. השתלטות ללא סיסמה

עם ה-cookie בידיו, התוקף יכול לפתוח OWA בדפדפן שלו ולהתחבר כאילו הוא הקורבן — בלי לדעת את הסיסמה כלל.

מה יכול תוקף לעשות עם JavaScript זדוני?

כשקוד JavaScript רץ בהקשר של אתר שאתם מחוברים אליו, לתוקף יש בפועל את הסמכות שלכם. ב-OWA זה כולל:

  • גניבת עוגיות סשן — דרך ישירה לחטיפת חשבון ללא אימות זהות
  • שליחת מיילים בשמכם — לעמיתים, ללקוחות, לכל מי שנמצא ב-contacts
  • קריאת תיבת הדואר — מיילים פנימיים, קבצים מצורפים, מידע עסקי רגיש
  • גישה ליומן ואנשי קשר — מיפוי מבנה הארגון לטובת מתקפה רחבה יותר

ההבדל הקריטי ממתקפות דיוג רגילות: אין צורך שהקורבן ילחץ על קישור חיצוני. הכל קורה בתוך ממשק OWA הארגוני — אתר שהמשתמש מכיר ושומר עליו אמון.

מה לעשות עכשיו?

מיגון זמני אוטומטי: EM Service

Exchange Server 2016 ומעלה כוללים שירות מובנה בשם Exchange Emergency Mitigation Service (EM Service). כברירת מחדל, השירות פעיל ומחיל עדכוני מיגון אוטומטיים ישירות מ-Microsoft. אם השירות פעיל בארגון שלכם — המיגון הזמני כבר מותקן.

ניתן לאמת את הפעלתו ב-Exchange Admin Center, תחת: Servers → Server Settings → Emergency Mitigation.

תיקון קבוע: עדכון מהיר כשיפורסם

Microsoft הודיעה על תיקון קבוע שיגיע בעדכון אבטחה ייעודי. עקבו אחרי פרסומי Security Update של Microsoft ויישמו אותם מיד עם הופעתם — כפי שלמדנו מהמאמר שעת האפס, חלון הזמן בין פרסום עדכון לניצולו על ידי תוקפים מתקצר כל הזמן.

צעדים נוספים

  • הגבילו גישה ל-OWA: אם OWA אינו הכרחי מחוץ לרשת הפנימית — שקלו לחסום אותו מהאינטרנט הציבורי
  • ניטור לוגים: חפשו כניסות חריגות לחשבונות — כתובות IP לא מוכרות, זמנים חריגים
  • MFA: אימות רב-שלבי לא ימנע גניבת סשן פעיל, אבל יגביל את יכולת התוקף לפתוח סשנים חדשים עם הסיסמה הגנובה

סיכום

CVE-2026-42897 מדגישה עיקרון שחוזר על עצמו: הדפדפן הוא שדה קרב. גם כשמשתמש לא מוריד קבצים ולא לוחץ על קישורים חשודים — הצגת תוכן לא מסונן בממשק Web יכולה להפוך לכניסה לחשבון שלמה.

לכל ארגון שמפעיל Exchange Server מקומי: ודאו שה-EM Service פעיל, עקבו אחרי עדכוני Microsoft, ואל תסמכו על כך שמדיניות “לא לפתוח מיילים חשודים” מספיקה — הפגיעות הזו אינה דורשת ממשתמש לעשות דבר חשוד. מייל שגרתי לגמרי מספיק.

מקורות: The Hacker News | Help Net Security | CISA KEV Catalog

תגובות