Microsoft baru saja merilis peringatan mengenai kerentanan high-severity pada Exchange Server yang saat ini sedang aktif dieksploitasi dalam serangan siber. Celah keamanan ini memungkinkan penyerang menjalankan kode arbitrer melalui teknik Cross-Site Scripting (XSS) yang menargetkan pengguna Outlook on the Web (OWA).
Kerentanan dengan kode CVE-2026-42897 ini dikategorikan sebagai spoofing vulnerability yang berdampak pada sistem yang bahkan sudah diperbarui ke versi terbaru.
Detail Kerentanan & Cara Kerja Serangan
Penyerang dapat mengeksploitasi celah ini dengan cara yang cukup sederhana namun berbahaya:
- Metode: Penyerang mengirimkan email yang telah dirancang khusus (specially crafted email) kepada target.
- Pemicu: Jika pengguna membuka email tersebut melalui Outlook Web Access (OWA) dan memenuhi kondisi interaksi tertentu, skrip JavaScript arbitrer dapat berjalan langsung di dalam konteks peramban (browser) pengguna.
- Dampak: Eksekusi kode ini dapat berujung pada pencurian data, pengambilalihan sesi, atau pergerakan lateral di dalam jaringan perusahaan.
Langkah Mitigasi Segera
Karena tambalan (patch) permanen belum tersedia, Microsoft menyarankan langkah-langkah darurat berikut:
- Aktifkan Exchange Emergency Mitigation Service (EEMS): Ini adalah cara tercepat dan terbaik. EEMS akan secara otomatis menerapkan mitigasi sementara pada server Exchange 2016, 2019, dan SE on-premises. Pastikan server Anda setidaknya menjalankan versi Maret 2023 agar fitur ini berfungsi.
- Gunakan Exchange on-premises Mitigation Tool (EOMT): Untuk lingkungan air-gapped atau admin yang lebih memilih kontrol manual, jalankan skrip PowerShell berikut melalui Exchange Management Shell (EMS) dengan hak akses tinggi:
- Satu Server:
.\EOMT.ps1 -CVE "CVE-2026-42897" - Semua Server:
Get-ExchangeServer | Where-Object { $_.ServerRole -ne "Edge" } | .\EOMT.ps1 -CVE "CVE-2026-42897"
- Satu Server:
Efek Samping Mitigasi (Penting!)
Penerapan mitigasi ini akan membatasi beberapa fungsionalitas pada OWA, antara lain:
- Fungsi Cetak Kalender (Print Calendar) tidak akan berfungsi. Solusi: Gunakan tangkapan layar atau Outlook Desktop.
- Gambar Inline mungkin tidak tampil dengan benar di panel baca OWA. Solusi: Kirim sebagai lampiran atau gunakan Outlook Desktop.
- OWA Light tidak akan berfungsi normal.
Ketersediaan Patch Mendatang
Microsoft berencana merilis patch resmi untuk Exchange SE RTM, Exchange 2019 (CU14/CU15), dan Exchange 2016 (CU23). Namun, perlu dicatat bahwa pembaruan untuk Exchange 2016 dan 2019 hanya tersedia bagi pelanggan yang terdaftar dalam program Period 2 Exchange Server ESU, mengingat kedua versi tersebut sudah melewati masa dukungan reguler.