微软在5月安全例行更新之外,突然再次抛出重磅警讯:Exchange Server 出现高危漏洞 CVE-2026-42897,CVSS评分 8.1,并且已被归类为“已遭利用”。这次受影响的主要是部署在企业内网的 Exchange Server 2016、Exchange Server 2019,以及Exchange订阅版(SE);而 Exchange Online 不在影响范围内。消息一出,安全圈立刻紧张,因为微软表示自己已经监测到相关的漏洞利用活动。
更棘手的是,CVE-2026-42897 的攻击链指向 Exchange 的 OWA(Outlook Web Access)跨网站脚本(XSS)问题。攻击者可以通过精心制作的邮件诱导受害者在 OWA 中打开内容;一旦用户触发特定交互条件,恶意脚本就可能在用户当前浏览器权限与会话上下文中执行。换句话说,攻击并不仅是“挂马”,而是具备以用户身份进行后续操作的风险。
面对“补丁尚未发布”的当下局面,微软给出行动路线:长期修补机制仍在开发与测试中,质量达到标准后才会正式提供更新。将覆盖 Exchange Server 2019 CU14 与 CU15、Exchange Server 2016 CU23,以及 Exchange SE RTM,其中部分版本的更新可能先仅开放给参加 Exchange Server ESU 计划的用户;至于 Exchange SE 则会公开发布。
但在真正修补到位前,微软同时提供两种临时缓解方案。
第一种是使用 Exchange 紧急风险降低(EM)服务:通过套用 IIS 的 URL Rewrite 规则,并停用存在漏洞的 Exchange 相关服务与应用程式集区(App Pool),降低被利用的可能性。
第二种适用于无法上 EM 服务的场景(例如离线或隔离环境):下载最新的 Exchange on-premises Mitigation Tool(EOMT),再借助具备权限的 Exchange Management Shell(EMS)执行脚本进行缓解,包括对单台或全体服务器应用对应配置。
与此同时,美国 CISA 也把该漏洞列入已知遭利用漏洞清单(KEV),要求联邦机构在5月29日前完成缓解。对使用本地 Exchange 的企业来说,重点已经从“等补丁”变成“先止血”:尽快评估版本暴露面,并在补丁到来前优先部署临时缓解,别让8.1级漏洞成为入侵者最省力的切入口。
