Exchange Server zero-day OWA:
è ora di lasciare l'on-prem

Cosa è successo

Il 14 maggio 2026 Microsoft ha divulgato la CVE-2026-42897, una vulnerabilità di tipo XSS/spoofing che interessa Outlook Web Access (OWA) nelle versioni on-premises di Exchange Server 2016, 2019 e Subscription Edition. La gravità è valutata 8.1 sulla scala CVSS. Lo sfruttamento avviene tramite email costruite ad hoc, viene innescato dal semplice rendering del messaggio nell'interfaccia OWA e risulta attivo in the wild.

Il 18 maggio 2026 CISA (Cybersecurity and Infrastructure Security Agency) ha inserito la CVE-2026-42897 nel proprio catalogo Known Exploited Vulnerabilities (KEV), imponendo alle agenzie federali statunitensi una scadenza per la remediation. È il segnale ufficiale che lo sfruttamento è già in corso. Microsoft non ha ancora rilasciato una patch definitiva: ha pubblicato solo una mitigation guide sul proprio Tech Community.

Chi è impattato (e chi no)

Sono vulnerabili tutte le installazioni di Exchange Server on-premises nelle versioni 2016, 2019 e Subscription Edition. Non è impattato Exchange Online, ossia il servizio di posta incluso in Microsoft 365: per i tenant cloud le mitigazioni sono già state applicate da Microsoft a livello di servizio.

Il quadro è significativo per molte PMI italiane: spesso un Exchange Server on-prem nasce anni fa, si integra con l'Active Directory aziendale, viene aggiornato a fatica e — proprio per l'inerzia infrastrutturale — resta in produzione anche quando il fornitore non garantisce più la stessa qualità di servizio del cloud. Una vulnerabilità come la CVE-2026-42897 colpisce esattamente questi scenari.

Cosa fare subito

Se la tua azienda ha ancora un Exchange Server on-prem, ci sono azioni che vanno avviate oggi:

• 1Applicare la mitigation guide Microsoft— seguire le indicazioni pubblicate sul Tech Community per CVE-2026-42897 e verificare di avere installati gli ultimi Cumulative Update. La mitigation è il presupposto minimo per ridurre la finestra di esposizione.
• 2Controllare i log OWA e gli accessi recenti— cercare anomalie negli accessi alla webmail, tentativi di rendering di messaggi sospetti, comportamenti inattesi degli account amministrativi. Un'eventuale compromissione potrebbe essere già avvenuta.
• 3Ruotare credenziali e secret degli account privilegiati— in caso di dubbio, cambiare password e secret degli account admin di Exchange e del dominio, revocare le sessioni attive e revisionare le regole di posta automatica create di recente.
• 4Affiancare una protezione email moderna— ridurre la probabilità che un'email malevola raggiunga l'utente è il primo livello di difesa: il nostro servizio ATWS Email Security Gateway, qualificato ACN QC1, filtra spam, phishing e payload dannosi prima che entrino in azienda.
• 5Pianificare la migrazione a Microsoft 365— la soluzione strutturale è superare l'on-prem. Sotto trovi i criteri con cui ATWS imposta il percorso.

Perché Exchange on-prem oggi è insostenibile

Ogni Exchange Server on-premises richiede di farsi carico, in proprio, di tutta la superficie di attacco: aggiornamenti mensili, mitigation per zero-day come questa, hardening dell'OWA, monitoraggio dei log, gestione dei certificati e delle integrazioni Active Directory. Nelle PMI senza un team IT strutturato, questo lavoro spesso si traduce in patch ritardati, configurazioni datate e servizi esposti a vulnerabilità note. Il TCO reale (licenze, hardware, manutenzione, personale, incident response) supera quasi sempre il costo di una licenza Microsoft 365.

In cloud, la responsabilità della piattaforma è di Microsoft: aggiornamenti, mitigazioni e protezione dell'infrastruttura sono inclusi nel servizio. La PMI può concentrarsi sulle proprie configurazioni di sicurezza (Conditional Access, MFA, Defender) invece di rincorrere ogni bollettino CVE. È esattamente quello che la CVE-2026-42897 mette in evidenza: chi è su Exchange Online non ha dovuto fare nulla, chi è on-prem deve correre.

Come ATWS gestisce la migrazione a Microsoft 365

AtWorkStudio supporta le PMI nel passaggio da Exchange on-prem a Microsoft 365 con un percorso operativo. Partiamo da un assessment dell'ambiente attuale (numero di caselle, archivi storici, regole, integrazioni applicative, dipendenze AD), definiamo la strategia di migrazione (cut-over rapido per scenari piccoli, ibrida progressiva per ambienti articolati) e accompagniamo il cliente fino alla dismissione del server on-prem. Per migrazioni piccole è possibile completare il passaggio anche in un solo giorno; per ambienti più complessi la durata si misura in settimane o mesi e prevede una fase di coesistenza ibrida controllata.

Sul fronte sicurezza, affianchiamo la migrazione con due servizi qualificati ACN QC1: ATWS Email Security Gateway per la protezione perimetrale della posta e ATWS Secure Backup Microsoft 365 per il backup indipendente di caselle, OneDrive e SharePoint — due livelli di difesa che il tenant Microsoft 365 di base non include. Operiamo da Piacenza dal 2000, siamo certificati ISO/IEC 27001, 27017, 27018 e ISO 9001, membri di Clusit (Associazione Italiana per la Sicurezza Informatica) e associati a Confindustria Piacenza nel cluster RICT.