微软本周披露了一个正在被积极利用的安全漏洞,影响所有本地部署版本的Exchange Server。这个编号为CVE-2026-42897的漏洞,CVSS评分达到8.1,属于高危级别。
问题的根源是一个跨站脚本(XSS)缺陷导致的欺骗漏洞。一位匿名安全研究员发现并报告了该问题。微软在周四的安全公告中解释:Exchange Server在网页生成过程中对输入处理不当,使得未授权的攻击者能够通过网络实施欺骗攻击。
攻击方式相当直接。攻击者只需向目标用户发送一封精心构造的邮件,当用户在Outlook Web Access中打开这封邮件,并在特定交互条件下,攻击者就能在浏览器上下文中执行任意JavaScript代码。微软已为该漏洞打上"检测到利用活动"的标签,表明这不是理论风险,而是正在发生的真实威胁。
受影响的版本覆盖所有本地部署的Exchange Server:2016版、2019版,以及订阅版(SE),无论更新级别如何。Exchange Online用户则不受影响。
微软目前提供了临时缓解方案。Exchange紧急缓解服务(EEMS)将通过URL重写配置自动部署缓解措施,该服务默认启用。如果未启用,管理员需要手动开启Windows服务。对于因物理隔离无法使用EEMS的环境,微软提供了Exchange本地缓解工具(EOMT),可从指定链接下载,通过提升权限的Exchange管理控制台在单台或全部服务器上运行脚本部署缓解。
值得注意的是,微软确认存在一个已知显示问题:缓解措施的状态描述可能显示"Mitigation invalid for this exchange version",但Exchange团队明确表示这只是界面显示错误,只要状态显示为"Applied",缓解措施就已成功应用。目前尚无关于攻击者身份、利用规模、目标对象或成功攻击案例的详细信息。在官方补丁发布前,部署微软推荐的缓解措施是当务之急。