微软Exchange服务器零日漏洞通过伪造电子邮件被利用

微软证实了对 CVE-2026-42897 的主动利用，这是内部部署 Exchange Server 中的一个零日漏洞，攻击者可通过发送伪造的电子邮件在受害者的浏览器中执行任意 JavaScript。目前还没有永久补丁。微软于 5 月 14 日部署了紧急缓解措施，CISA 在第二天将该漏洞添加到其已知漏洞目录中，要求联邦机构在 5 月 29 日前进行补救。Exchange Online 不受影响。

CVE-2026-42897 的作用

CVE-2026-42897是内部部署 Microsoft Exchange Server 的 Outlook Web Access 组件中的一个跨站点脚本漏洞，评级为 CVSS 8.1。攻击者会向目标发送特制的电子邮件。当收件人在某些交互条件下在 OWA 中打开该邮件时，任意 JavaScript 会在浏览器会话内执行。

微软将该漏洞归类为欺骗问题，根源在于网页生成过程中输入中和不当。攻击路径不需要身份验证或服务器访问。它从收件箱开始。

受影响的用户

该漏洞会攻击任何更新级别的内部部署 Exchange Server 2016、Exchange Server 2019 和 Exchange Server Subscription Edition。Exchange Online 不存在漏洞。

对于尚未迁移到云的政府、金融机构和企业来说，内部部署 Exchange 是企业电子邮件的中心。CISA 的已知漏洞目录已经列出了近二十多个 Exchange Server 漏洞，勒索软件组织已经利用其中的几个漏洞入侵目标。CVE-2026-42897 在 5 月份的 "星期二补丁 "发布两天后就出现了，"星期二补丁 "修补了 120 个漏洞，但在发布说明中没有披露零漏洞。

缓解漏洞

微软通过其Exchange 紧急缓解服务部署了一个临时修复程序。EEMS 通过默认启用该服务的 Exchange 邮箱服务器上的 URL 重写配置自动应用缓解措施。管理员可以使用 aka.ms/ExchangeHealthChecker 中的 Exchange Health Checker 脚本验证状态。

对于 EEMS 无法连接到 Microsoft 服务器的 air-gapped 或断开连接的环境，管理员必须手动下载最新的 Exchange On-premises Mitigation Tool，并通过提升的 Exchange Management Shell 运行该工具。该命令既可以针对单个服务器，也可以同时在整个 Exchange 机群中运行。

有一个外观问题需要注意。某些服务器会在描述字段中将缓解状态显示为 "此 Exchange 版本的缓解无效"。如果状态栏显示 "已应用"，Microsoft 就会确认在这些情况下正确应用了修复程序。显示文本是一个已知的外观错误，正在调查中。

缓解措施的副作用

应用修复程序会产生功能性后果。应用缓解措施后，OWA 打印日历功能停止工作。Outlook Web Access 内收件人的阅读窗格中不再正确显示内联图像。

OWA Light（通过以 /?layout=light 结尾的 URL 访问的旧版本界面）也会在减缓措施应用后停止工作。微软早在几年前就弃用了该界面，并认为它不适合在生产中使用，但仍在使用它的组织将需要通过标准 OWA URL 替换用户。

尚无永久性修补程序

微软正在开发永久性修复程序，但尚未确认发布时间表。一旦推出，Exchange Server Subscription Edition 将通过标准更新渠道收到该补丁。Exchange Server 2016 和 2019 只能通过微软的 Period 2 Extended Security Update 计划获得永久补丁。

运行这两个旧版本而没有注册 ESU 的组织在手动应用紧急缓解措施之前将一直处于暴露状态。CISA 于 5 月 15 日将 CVE-2026-42897 添加到已知漏洞目录中，并要求联邦文职行政机构在 5 月 29 日前进行修复。微软尚未确定主动攻击背后的威胁行为者，也未披露攻击者瞄准了哪些组织。

CVE-2026-42897 的发布时间与主动发现漏洞的时间相距甚远。 微软的 MDASH AI 模型最近发现了 16 个关键的 Windows 漏洞，而 CVE-2026-42897 完全绕过了这一检测方法。