近期,微软紧急披露了 Microsoft Exchange Server 的高危零日漏洞(CVE-2026-42897),该漏洞已被确认在野外遭到积极利用。
漏洞核心机制
该漏洞是一个存在于 Exchange Outlook Web Access (OWA) 组件中的存储型跨站脚本(XSS)漏洞,CVSS 评分高达 8.1(高危)。其根本原因在于 OWA 对邮件正文的 HTML 内容过滤存在逻辑缺陷,错误地放行了 SVG 标签内的恶意事件处理程序。
武器化邮件攻击链
攻击者利用此漏洞的攻击门槛极低,无需任何前置权限。攻击者只需向目标用户发送一封精心构造的武器化恶意邮件,当受害者在 OWA 界面中打开邮件(甚至仅在预览窗格中加载)并触发特定交互时,注入的任意 JavaScript 代码便会在受害者的浏览器上下文中无缝执行。
潜在危害
成功利用该漏洞后,攻击者可在受害者浏览器中执行任意 JavaScript,进而实现会话劫持、凭证窃取、读取或自动转发收件箱邮件、伪造用户身份发送邮件,甚至将其作为跳板进一步向企业内网进行横向渗透。
影响范围与缓解措施
该漏洞影响所有本地部署的 Exchange Server 2016、2019 及订阅版(SE),但 Exchange Online(Office 365)及 Outlook 桌面/移动客户端不受影响。
目前微软尚未发布正式的永久修复补丁(预计于 2026 年 6 月补丁日发布),但已提供以下紧急缓解方案:
Exchange 紧急缓解服务(EEMS):对于联网服务器,微软已自动推送 M2.1.x 版本的临时缓解规则,管理员可通过健康检查脚本确认状态。
Exchange 本地缓解工具(EOMT):对于物理隔离或无法联网的环境,管理员需下载 EOMT 脚本并在提权的 Exchange 管理 Shell 中手动执行。
需要注意的是,启用缓解措施可能会带来轻微的功能副作用,例如 OWA 的打印日历功能异常或阅读窗格中的内联图片显示异常,建议短期内优先使用 Outlook 桌面客户端或手机 App 访问邮箱。
评论已关闭