Um proof-of-concept (PoC) de exploração público está agora disponível para o CVE-2026-45504, uma vulnerabilidade de alta severidade de falsificação de solicitação de servidor (SSRF) no Microsoft Exchange Server que permite elevação de privilégio através de leitura arbitrária de arquivos. A falha afeta o Exchange Server on-premises 2016 e 2019, incluindo a Edição de Assinatura, e é abordada nas atualizações de segurança de 9 de junho de 2026 da Microsoft.
Mecanismo técnico da vulnerabilidade
O CVE-2026-45504 surge de como o Exchange se integra com o SharePoint e o WOPI ao gerar URLs de pré-visualização de documentos WAC. No fluxo vulnerável, o Exchange usa funções auxiliares como GetTokenRequestWebResponse e GetWacUrl, que chamam OneDriveProUtilities.TryTwice para emitir solicitações HTTP baseadas em URLs influenciadas pelo atacante e depois analisar uma resposta XML OData para WebApplicationUrl, AccessToken e AccessTokenTtl.
Como o Exchange não valida o esquema de URL do campo WebApplicationUrl retornado pelo provedor WOPI, um atacante pode fornecer um esquema não-HTTP que é posteriormente usado como está para construir a URL WAC final. Isso converte um primitivo SSRF em um problema poderoso de leitura arbitrária de arquivos no próprio servidor Exchange.
Exploração e impacto do PoC
A exploração depende de um truque sutil de manipulação de URI envolvendo o caractere de fragmento #. Se o endpoint WOPI controlado pelo atacante retornar um WebApplicationUrl como file:///C:/windows/win.ini#, o Exchange anexa parâmetros de consulta OAuth, formando uma URL como file:///C:/windows/win.ini#&access_token=...&access_token_ttl=...&sc=.... Tudo após # é tratado como um fragmento e ignorado pelo analisador de URI, então o caminho efetivo permanece file:///C:/windows/win.ini.
Como resultado, o Exchange emite uma solicitação file:// via FileWebRequest, lê o arquivo local e retorna seu conteúdo ao solicitante por meio dos serviços do Exchange. Ao escolher caminhos sensíveis, um atacante pode exfiltrar arquivos de configuração, material de credencial e outros segredos que facilitam a elevação de privilégio e comprometimento adicional.
De acordo com a HawkTrace, um PoC público demonstra leituras arbitrárias de arquivos no Exchange Server 2019, incluindo C:\Windows\win.ini, tornando a exploração no mundo real mais fácil. A Microsoft classifica o problema como uma vulnerabilidade de elevação de privilégio com uma pontuação CVSS v3.1 de 8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H), enfatizando um alto impacto na confidencialidade, integridade e disponibilidade quando explorado pela rede por um usuário autenticado de baixa privilégio.
Medidas de mitigação e correção
Atualizações de segurança estão disponíveis para Exchange Server 2016 Cumulative Update 23, Exchange Server 2019 Cumulative Updates 14 e 15, e Exchange Server Subscription Edition RTM sob KB5094144, KB5094142, KB5094140 e KB5094139, respectivamente. A avaliação inicial de explorabilidade da Microsoft classificou a exploração como improvável, mas o lançamento de código de exploração funcional aumenta o risco de que atores de ameaças adotem essa técnica contra ambientes não corrigidos.
Administradores de implantações de Exchange on-premises devem aplicar urgentemente as atualizações de segurança de 9 de junho de 2026 e verificar se seus servidores correspondem aos números de build corrigidos referenciados na documentação da Microsoft. Enquanto aguarda a cobertura total de patches, as organizações podem reduzir a exposição endurecendo o acesso aos endpoints Exchange e EWS, restringindo o tráfego de saída de servidores Exchange para hosts não confiáveis e monitorando anexos de referência EWS suspeitos que apontam para domínios externos desconhecidos.
Perguntas frequentes
Qual é a gravidade da vulnerabilidade?
A vulnerabilidade tem pontuação CVSS de 8.8, classificada como alta, permitindo elevação de privilégio e leitura de arquivos locais.
Quais versões são afetadas?
Exchange Server 2016 e 2019 on-premises, incluindo a Edição de Assinatura.
Como mitigar antes do patch?
Endurecer acesso EWS, restringir tráfego de saída e monitorar anexos de referência suspeitos.