行业新闻与博客

微软警告称，存在一个高危零日漏洞，攻击者可以通过向 Outlook 用户发送特制电子邮件，向受害者发送任意代码。

该漏洞编号为 CVE-2026-42897，是由于 Microsoft Exchange Server 在网页生成过程中输入处理不当（也称为跨站脚本攻击 (XSS)）造成的，这使得未经授权的攻击者能够通过网络执行欺骗操作。

该高危漏洞（CVSS 评级为 8.1）由这家科技巨头于 5 月 14 日披露，会影响某些本地部署的 Exchange Server 版本：

• 所有现有的 Exchange Server 2016 版本
• 所有现有的 Exchange Server 2019 版本
• 所有现有的 Exchange Server 订阅版 (SE) 版本

它不会影响 Exchange Online 。

补丁开发期间，将提供临时解决方案。

微软尚未发布针对此漏洞的补丁。

然而，在 5 月 14 日发布的安全公告中，Exchange 团队分享了安全团队在补丁发布之前可以采取的两种方法来减轻此漏洞潜在利用的影响。

微软推荐的第一种方案是使用 Exchange 紧急缓解 (EM) 服务。

如果 EM 服务已启用（默认情况下已启用），则缓解措施已自动应用。

管理员可以通过以下方式验证：

• 通过文档检查针对 CVE-2026-42897 (M2.1.x) 所应用的缓解措施。
• 运行 Exchange 健康检查脚本以快速检查 EM 服务的状态和已应用的缓解措施
• 如果 EM 服务当前已禁用，请启用它，微软强烈建议这样做。

请注意，运行 2023 年 3 月之前版本的服务器无法通过此服务接收新的缓解措施。

第二个缓解方案适用于无法使用 EM 服务的环境，例如断开连接或物理隔离的环境。

管理员可以通过以下方式手动应用缓解措施：

• 下载最新版本的 Exchange 本地部署缓解工具 (EOMT)
• 从提升权限的 Exchange 管理外壳运行提供的 PowerShell 脚本，使用 CVE-2026-42897 标识符，可以针对单个服务器或所有服务器同时进行攻击。

微软承认，这两种缓解措施都可能导致问题，例如禁用或中断某些功能（例如 OWA 打印日历、内嵌图像）。

该公司正在为受影响的 Exchange 服务器开发安全补丁。

Exchange SE 更新将作为公开可用的安全更新发布，而 Exchange 2016 和 2019 的更新将仅发布给已注册参加第二阶段 Exchange Server ESU 计划的客户。