微软警告Exchange零日漏洞CVE-2026-42897被利用

执行摘要

微软在周四披露了一个以前未知的Exchange Server漏洞，被追踪为CVE-2026-42897，正在被积极利用于攻击中。这个漏洞是一个欺骗漏洞，允许远程攻击者通过跨站脚本（XSS）攻击，在Outlook Web App（OWA）的上下文中执行任意JavaScript。微软将这个漏洞的严重性评为高，但尚未发布永久性安全更新。公司敦促管理员启用Exchange紧急缓解服务（EEMS）或通过Exchange现场缓解工具（EOMT）手动应用缓解措施作为临时措施。

技术分析

CVE-2026-42897影响Exchange Server 2016、Exchange Server 2019和Exchange Server订阅版（SE）——包括完全修补、最新的安装。根据微软的Exchange团队，攻击者可以通过向目标用户发送特别制作的电子邮件来利用这个漏洞。如果收件人在OWA中打开电子邮件，并且满足某些交互条件（例如，点击链接或以特定方式预览消息），则在OWA会话的浏览器上下文中执行任意JavaScript。

这个漏洞被归类为欺骗缺陷，但攻击向量是基于XSS的代码执行。截至本文撰写时，微软尚未发布CVSS分数，但描述——远程、未经身份验证、低复杂性利用需要用户交互——与基础分数可能在7.0-8.0范围内一致。公司确认这个漏洞正在野外被利用，但没有将活动归因于任何特定的威胁行为者或披露观察到的攻击范围。

微软的主要推荐缓解措施是Exchange紧急缓解服务（EEMS），该服务在2021年9月ProxyLogon和ProxyShell攻击浪潮后推出。EEMS作为Windows服务在Exchange邮箱服务器上运行，并自动应用高风险、积极利用的漏洞的临时缓解措施。它默认在具有邮箱角色的服务器上启用。对于已禁用EEMS的组织，微软强烈建议立即重新启用它。

对于在空气隔离或受限环境中的管理员，微软发布了**Exchange现场缓解工具（EOMT）**的更新版本。可以通过以下命令在提升的Exchange管理Shell（EMS）中应用缓解：

• 单个服务器：.\.\EOMT.ps1 -CVE "CVE-2026-42897"
• 所有服务器（不包括Edge）：Get-ExchangeServer | Where-Object { $_.ServerRole -ne "Edge" } | .\.\EOMT.ps1 -CVE "CVE-2026-42897"

微软警告说，应用缓解措施将导致几个已知的功能影响：

• OWA打印日历功能可能停止工作。变通方法包括复制日历数据、截屏或使用Outlook桌面客户端。
• 内联图像可能在收件人的OWA阅读窗格中显示不正确。微软建议将图像作为电子邮件附件发送或使用Outlook桌面客户端。
• OWA Light（URL以/?layout=light结尾）功能不正常。微软指出这个功能多年前就被弃用了，不打算用于常规生产使用。

微软计划为Exchange SE RTM、Exchange 2016 CU23和Exchange 2019 CU14和CU15发布永久补丁。然而，Exchange 2016和2019的更新将仅提供给参加第二期Exchange Server扩展安全更新（ESU）计划的客户，反映了这些产品自2025年10月以来的支持状态结束。

缓解措施与建议

运行现场Exchange Server的组织应立即验证所有邮箱服务器上是否启用了Exchange紧急缓解服务（EEMS）。微软表示，EEMS将自动应用CVE-2026-42897的缓解措施，无需手动干预。管理员可以通过Exchange管理中心或在EMS中运行Get-ExchangeServer | fl *Emergency*来检查EEMS状态。

对于EEMS被禁用或不可用的环境（例如，空气隔离网络），应从微软下载中心下载Exchange现场缓解工具（EOMT），并使用上述CVE特定标志执行。微软警告说，缓解措施不是补丁的替代品——它阻止了已知的利用路径，但可能无法涵盖所有变体。

防御者应监控OWA访问日志，寻找不寻常的JavaScript执行模式、意外的重定向或来自外部发件人的异常电子邮件交互。鉴于攻击需要OWA中的用户交互，提高用户对不要在Web客户端点击链接或打开可疑电子邮件的意识培训是一个合理的短期控制措施。尚未参加Exchange 2016/2019的ESU计划的组织应这样做，以接收即将到来的永久修复。