微软已确认,黑客正积极利用本地部署 Exchange Server 中新曝光的 0Day 欺骗漏洞 (CVE-2026-42897)。攻击者只需发送一封精心构造的邮件,当受害者在浏览器中打开该邮件时,便能在 Outlook Web Access (OWA) 中执行任意 JavaScript 代码。
漏洞技术细节
2026年5月14日,微软披露 CVE-2026-42897 是 Exchange Outlook Web Access 中的一个欺骗漏洞,其根源在于网页生成过程中对用户输入的不当处理,本质上属于跨站脚本 (XSS) 漏洞 (CWE-79)。未经身份验证的攻击者可以发送特制邮件,一旦目标用户在 OWA 中打开该邮件且满足特定交互条件,攻击者注入的 JavaScript 代码就会在已登录用户的浏览器上下文中执行。
该漏洞影响 Exchange Server 2016、Exchange Server 2019 以及 Exchange Server Subscription Edition (SE) 的所有更新版本,但 Exchange Online (Microsoft 365) 不受影响。
漏洞严重性与影响
微软的可利用性评估将本 CVE 标记为“已检测到利用”,确认已有真实攻击在利用此漏洞。CVE-2026-42897 被评定为严重级别,CVSS v3.1 基础评分 8.1 分,属于可通过网络发起的攻击,攻击者无需任何权限,仅需用户进行基本交互 (在 OWA 中打开邮件)。
成功利用此漏洞可使攻击者在受害者浏览器会话中执行 JavaScript,从而实现邮件欺骗、凭据窃取、会话劫持,以及以受感染用户的身份执行操作。由于攻击通过电子邮件传递,并在 OWA 渲染内容时触发,因此可以绕过传统的附件或链接安全控制,混入正常的邮箱活动中。
微软指出,目前仅观察到通过 OWA 渲染的利用方式,Exchange Online 和非 OWA 访问路径暂时未发现受影响情况。
缓解措施与修复方案
微软主要的短期防御措施是 Exchange 紧急缓解 (EM) 服务,该服务在受支持的本地 Exchange 服务器上默认启用,并自动部署针对 CVE-2026-42897 的缓解措施 M2.1.x。组织可以使用 EM “查看已应用缓解措施”指南或 Exchange 健康检查脚本来验证缓解状态,该脚本会在其 HTML 报告中提供 EEMS 检查部分。
对于离线或物理隔离环境,微软提供 Exchange 本地缓解工具 (EOMT),通过名为 PowerShell.ps1 的 PowerShell 脚本 (带 CVE 参数) 为每台服务器应用特定于 CVE 的缓解措施。这些缓解措施依赖于浏览器内容安全策略 (CSP),因此无法保护通过 Internet Explorer 或 IE 模式下的 Edge 访问 OWA 的用户,因为那些浏览器不支持 CSP。
2026年6月9日,微软为 Exchange SE RTM、Exchange Server 2019 CU14/CU15 和 Exchange Server 2016 CU23 发布了安全更新 (SU),其中包含对 CVE-2026-42897 的永久修复。2016/2019 更新仅适用于已加入第2阶段扩展安全更新 (ESU) 计划的客户。
微软强烈建议尽快安装 2026年6月的安全更新,即使打补丁后仍可保留 CVE-2026-42897 缓解措施作为额外防御层。微软同时提醒,应用缓解措施 (通过 EM 服务或 EOMT) 可能会破坏或降低某些 OWA 功能,包括日历打印、阅读窗格中的内联图像显示、OWA Light、已发布日历和 OWACalendar 代理健康集,这可能在监控系统中触发误报。
一旦组织安装了 2026年6月更新并选择手动移除缓解措施,上述问题预计将得到解决。2026年6月的公告还强调,除非将 Exchange 服务器更新到至少 2026年6月版本,否则从 2026年7月起 EM 和功能飞行服务将停止使用新配置文件,这进一步强化了升级到当前版本的必要性。
对于仍在使用 Exchange 2016/2019 但未加入第2阶段 ESU 的组织,微软建议迁移到 Exchange SE 以保持获取未来安全修复的能力。
参考来源:
Microsoft Exchange Server 0-Day Vulnerability Exploited in Attacks Using Weaponized Email
更多安全漏洞与渗透技术动态,欢迎访问 云栈社区安全板块。
发表于 昨天 23:14
|
查看: 4|
回复: 0
