行業新聞與博客

微軟警告稱，存在一個高危零日漏洞，攻擊者可以通過向 Outlook 用户發送特製電郵，向受害者發送任意代碼。

該漏洞編號為 CVE-2026-42897，是由於 Microsoft Exchange Server 在網頁生成過程中輸入處理不當（也稱為跨站腳本攻擊 (XSS)）造成的，這使得未經授權的攻擊者能夠通過網絡執行欺騙操作。

該高危漏洞（CVSS 評級為 8.1）由這家科技巨頭於 5 月 14 日披露，會影響某些本地部署的 Exchange Server 版本：

• 所有現有的 Exchange Server 2016 版本
• 所有現有的 Exchange Server 2019 版本
• 所有現有的 Exchange Server 訂閲版 (SE) 版本

它不會影響 Exchange Online 。

補丁開發期間，將提供臨時解決方案。

微軟尚未發佈針對此漏洞的補丁。

然而，在 5 月 14 日發佈的安全公告中，Exchange 團隊分享了安全團隊在補丁發佈之前可以採取的兩種方法來減輕此漏洞潛在利用的影響。

微軟推薦的第一種方案是使用 Exchange 緊急緩解 (EM) 服務。

如果 EM 服務已啓用（默認情況下已啓用），則緩解措施已自動應用。

管理員可以通過以下方式驗證：

• 通過文檔檢查針對 CVE-2026-42897 (M2.1.x) 所應用的緩解措施。
• 運行 Exchange 健康檢查腳本以快速檢查 EM 服務的狀態和已應用的緩解措施
• 如果 EM 服務當前已禁用，請啓用它，微軟強烈建議這樣做。

請注意，運行 2023 年 3 月之前版本的服務器無法通過此服務接收新的緩解措施。

第二個緩解方案適用於無法使用 EM 服務的環境，例如斷開連接或物理隔離的環境。

管理員可以通過以下方式手動應用緩解措施：

• 下載最新版本的 Exchange 本地部署緩解工具 (EOMT)
• 從提升權限的 Exchange 管理外殼運行提供的 PowerShell 腳本，使用 CVE-2026-42897 標識符，可以針對單個服務器或所有服務器同時進行攻擊。

微軟承認，這兩種緩解措施都可能導致問題，例如禁用或中斷某些功能（例如 OWA 打印日曆、內嵌圖像）。

該公司正在為受影響的 Exchange 服務器開發安全補丁。

Exchange SE 更新將作為公開可用的安全更新發布，而 Exchange 2016 和 2019 的更新將僅發佈給已註冊參加第二階段 Exchange Server ESU 計劃的客户。