針對地端部署的 Microsoft Exchange Server 出現了一個高風險的安全漏洞 CVE-2026-42897,目前已被確認在真實環境中遭到利用。對於維運地端郵件伺服器的工程師來說,理解這個漏洞的運作邏輯以及如何快速止血至關重要。
漏洞核心原理與影響
這次的問題源於一種稱為 Cross-site Scripting (XSS) 的跨站指令碼攻擊。簡單來說,XSS 是指應用程式在生成網頁內容時,沒有對使用者輸入的資料進行正確的過濾或中和處理,導致攻擊者可以將惡意的 JavaScript 程式碼注入到網頁中。
在 Exchange Server 的這個案例中,漏洞發生在 Outlook Web Access (OWA),也就是使用者透過瀏覽器登入的網頁版郵件介面。
攻擊路徑是這樣的:攻擊者會發送一封經過精心設計的特製郵件給目標使用者。當使用者在瀏覽器中使用 OWA 開啟這封郵件,且滿足特定交互條件時,郵件中隱藏的惡意 JavaScript 就會在使用者的瀏覽器環境中執行。
由於 JavaScript 是在使用者的登入會話(Session)中執行,攻擊者可以利用這個權限進行 Spoofing (身分偽造)。這意味著攻擊者可以冒充該使用者執行操作,甚至在不知情的情況下讀取敏感資訊或發送偽造郵件,造成嚴重的權限濫用。
受影響範圍與限制
本次漏洞僅影響地端部署 (On-premises) 的 Exchange Server,包括 Exchange Server 2016、2019 以及最新的 Subscription Edition (SE),且不論更新版本等級為何均受影響。
值得注意的是,雲端版本的 Exchange Online 不受此漏洞影響。這再次凸顯了地端維運者必須自行管理補丁與緩解措施的壓力。
應對方案與實務操作
面對此類漏洞,微軟採取了兩種階段性的緩解策略。
第一種是自動化緩解。微軟透過 Exchange Emergency Mitigation Service (緊急緩解服務) 提供臨時方案。該服務會自動透過 URL 重寫 (URL Rewrite) 的配置來阻斷攻擊路徑。只要伺服器上的 Windows 相關服務處於啟動狀態,此功能預設會自動生效。
第二種是針對特殊環境的手動緩解。對於處於 Air-gap (實體隔離/氣隙環境) 而無法連接網路更新的伺服器,工程師必須手動操作。流程如下:
首先,從官方管道下載最新版本的 Exchange on-premises Mitigation Tool (EOMT) 工具。 接著,使用提升權限的 Exchange Management Shell (EMS) 執行指令。若要針對單一伺服器修復,可直接執行 EOMT.ps1 並指定 CVE 編號。若要一次處理所有非 Edge 角色的伺服器,則需搭配 Get-ExchangeServer 指令進行批次處理。
在執行過程中,部分管理員可能會在描述欄位看到 Mitigation invalid for this exchange version (此版本不適用緩解措施) 的提示。微軟已澄清這僅是顯示上的錯誤 (Cosmetic issue),只要狀態顯示為 Applied (已套用),即代表緩解措施已成功生效。
總結與建議
CVE-2026-42897 提醒我們,即便是在成熟的企業級產品中,輸入驗證不嚴謹導致的 XSS 依然能演變成高風險的身分偽造攻擊。對於維運人員,第一優先是確認緊急緩解服務是否開啟,或在隔離環境中儘速部署 EOMT 工具,直到正式的安全更新補丁發布並完成安裝為止。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。