微软披露 Exchange Server 零日漏洞正被利用

微软于 5 月 14 日披露 CVE-2026-42897，这是一个存在于本地 Exchange Server Outlook Web Access（OWA）中的跨站脚本漏洞，目前正在被积极利用。攻击者可发送精心构造的邮件，当受害者在特定交互条件下通过 OWA 打开该邮件时，会在浏览器中执行任意 JavaScript 代码。

该漏洞被评定为“高危”，美国国家漏洞数据库将其描述为“网页生成过程中输入未正确清理”，可导致通过网络进行欺骗。受影响产品包括 Exchange Server 2016、Exchange Server 2019 和 Exchange Server Subscription Edition（SE），Exchange Online 不受影响。

临时缓解措施，无永久补丁

目前尚无永久安全更新。微软建议管理员使用 Exchange 应急缓解服务（Exchange Emergency Mitigation Service），这是 2021 年引入的自动防御机制。该服务已向运行中的服务器推送了代号为“M2”的临时缓解措施。对于离线或隔离环境的组织，可以通过 Exchange 本地缓解工具（Exchange On-premises Mitigation Tool）在提升的 Exchange 管理 Shell 中手动应用修复。

但需要注意的是，对于运行 2023 年 3 月之前版本的 Exchange 服务器，应急缓解服务无法获取新的缓解措施，这意味着未及时更新的系统将面临风险，直到管理员手动操作。微软表示正在准备完整的安全更新，Exchange Subscription Edition 将获得公开补丁，而 Exchange 2016 和 2019 的更新仅向加入第二期扩展安全更新（Extended Security Update Period 2）的客户提供。

熟悉的靶点，面临压力

此次披露发生在微软 2026 年 5 月常规补丁星期二（Patch Tuesday）之外。5 月 13 日的补丁星期二修复了大约 130 至 137 个漏洞，但不包含零日漏洞。本地 Exchange Server 一直是高级威胁组织的重点攻击目标，自 2021 年疑似中国国家背景的 Hafnium 组织发动 ProxyLogon 攻击以来，此类攻击不断。就在 2026 年 4 月，CISA 还将另一个 Exchange Server 反序列化漏洞列入已知被利用漏洞目录。

微软 Exchange 团队的 Scott Schnoll 敦促管理员使用 Exchange Health Checker 脚本验证 M2 缓解措施是否已生效，称这是当天最可靠的确认方式。仍在运行本地 Exchange 的组织面临的时间窗口正在收窄：第一期扩展安全更新已于 2026 年 4 月结束，未加入第二期的组织可能完全无法获得永久修复。

来源：techcommunity.microsoft，windowsforum，darkreading，bleepingcomputer，malwarebytes，areteir