===== Exchange Emergency Mitigation Service =====

//Exchange Emergency Mitigation Service// - это служба, которая отвечает за экстренное закрытие критических уязвимостей нулевого дня онлайн. Рассмотрим работу службы на примере уязвимости //CVE-2026-42897//.

В первую очередь нужно убедиться, что служба включена и работает. Запрашиваем на Exchange-сервере её статус:

  Get-Service -DisplayName "*Emergency*"
Либо сразу вот так, если нам лень искать название службы на другом языке:

  Get-Service -name MSExchangeMitigation
Теперь посмотрим - включена ли настройка использования данной службы, сначала на уровне организации:

  Get-OrganizationConfig | ft mitigationsenabled
Затем проверим настройки для каждого из серверов:

  Get-Exchangeserver | ft name, mitigationsenabled, mitigationsapplied
Получим примерно такой вывод:

<code>
Name       MitigationsEnabled MitigationsApplied
----       ------------------ ------------------
EXCHANGE1               True {PING1, M2.1.0}
EXCHANGE2               True {PING1, M2.1.0}
EXCHANGE3               True {PING1, M2.1.0}
EXCHANGE4               True {PING1, M2.1.0}
</code>

Статус защиты с помощью данной службы можно проверить также, используя скрипт //Exchange Health Checker//.

Уязвимость **CVE-2026-42897** - как раз хороший пример случая обработки проблемы с //Exchange Emergency Mitigation Service//. Для проверки - была ли устранена данная уязвимость при работающей службе //Exchange Emergency Mitigation Service//, требуется сделать следующее. 

1. Качаем //Exchange On-premises Mitigation Tool (EOMT)//:

https://microsoft.github.io/CSS-Exchange/Security/EOMT/

2. Выполняем на сервере Exchange

  .\EOMT.ps1 -ShowMitigationStatus
3. Выбираем нужную уязвимость в списке и проверяем статус. Если //mitigation// механизм был применен, увидем что-то в духе:

<code>
Checking mitigation status for CVE-2026-42897 on EXCH1
EXCHANGE1 : Code Fix Applied: False | Mitigation Applied: True
</code>

:!: Данная служба обычно применяет некие экстренные хотфиксы, которые могут нарушать штатную работу каких-либо компонентов. К примеру, для **CVE-2026-42897** этот список приличный. 

<code>
Known issues when mitigation is applied
We are aware of following known issues once CVE-2026-42897 mitigation is applied (using either option above):

OWA Print Calendar functionality might not work. As a workaround copy the data or screenshot the calendar you want to print or use Outlook Desktop client.
Inline images might not display correctly in the recipients OWA reading pane. As a workaround, send images as email attachments or use Outlook Desktop client.

OWA light (OWA URL ending in /?layout=light) does not work properly. Please note that this feature has been deprecated several years ago and is not intended for regular production use.
OWACalendar.Proxy healthset might start showing unhealthy once the mitigation is in effect. This can cause alerts if you use various monitoring solutions for your Exchange Server. If you see this problem, we recommend ignoring those alerts within your monitoring platform until the fix is out and mitigation is removed.

Published calendars might not work with error 500.
We are aware of the mitigation showing the "Mitigation invalid for this exchange version." in mitigation details. This issue is cosmetic and the mitigation DOES apply successfully if the status is shown as "Applied". We are investigating on how to address this.
</code>

https://techcommunity.microsoft.com/blog/exchange/addressing-exchange-server-may-2026-vulnerability-cve-2026-42897/4518498

{{tag>Exchange Microsoft Mail PowerShell CVE}}