事件概述

微软于近期披露了一个影响广泛的高危零日漏洞CVE-2026-42897,该漏洞已被确认在野外被积极利用。

这个漏洞来得猝不及防——就在微软发布包含137个漏洞修复的补丁星期二更新后仅仅两天,安全研究人员便发现了这个此前未知的零日漏洞。漏洞影响Microsoft Exchange Server的多个版本,包括Subscription Edition、2016版和2019版的本地部署版本。

奇安信威胁情报中心监测显示,该漏洞的CVSS评分高达8.1(高危),属于典型的欺骗类漏洞,同时具备跨站脚本(XSS)攻击能力。攻击者无需特殊权限,即可通过精心构造的恶意邮件触发漏洞,在目标用户的浏览器上下文中执行任意JavaScript代码。

关键结论:虽然该漏洞目前尚未被CISA纳入已知被利用漏洞(KEV)目录,但微软已明确表示存在活跃的野外利用,这使得该漏洞的紧迫程度不容低估。

技术分析与攻击链路

漏洞根因

CVE-2026-42897的技术本质是输入验证不当导致的跨站脚本漏洞。问题出在Exchange Server的Outlook Web Access(OWA)组件中——当Web应用程序生成页面时,对用户可控输入的过滤和中和处理存在缺陷。

从攻击链角度分析,该漏洞属于MITRE ATT&CK框架中的以下技术类别:

  • T1189:路过式下载(初始访问)
  • T1059.007:JavaScript执行(命令和脚本执行)
  • T1566.002:鱼叉式钓鱼邮件(网络钓鱼)

攻击路径还原

结合多来源情报,该漏洞的完整攻击链路如下:

第一步:投递阶段

攻击者构造包含恶意载荷的特殊邮件。这里的"特殊"在于,邮件内容中嵌入了精心设计的脚本代码,当邮件通过OWA界面渲染时,这些代码会存在于页面DOM中。

第二步:触发阶段

目标用户使用Outlook Web Access打开邮件。需要注意的是,漏洞触发可能需要特定的用户交互条件,如鼠标悬停、点击邮件中的某个元素,或页面滚动到特定位置。这解释了为什么部分来源提到"under certain conditions"。

第三步:代码执行

当条件满足时,攻击者注入的JavaScript代码在用户浏览器上下文中执行。这意味着恶意代码拥有与当前登录用户相同的会话权限,可以:

  • 读取用户可见的所有邮件内容
  • 窃取会话Cookie,实现会话劫持
  • 提取OWA界面中的敏感数据
  • 构造进一步的攻击载荷

第四步:后继行动

成功利用后,攻击者可进一步实施:

  • 横向移动至企业内网其他系统
  • 凭据窃取和权限提升
  • 数据外泄
  • 部署后续攻击工具

漏洞技术特征对比

属性

详情

CVE编号

CVE-2026-42897

漏洞类型

欺骗漏洞 + 跨站脚本(XSS)

CVSS评分

8.1(高危)

影响范围

Exchange Server SE/2016/2019(本地部署)

利用前提

需向用户发送特制邮件

触发条件

用户在OWA中打开邮件并满足特定交互

Exchange Online

不受影响

威胁态势评估

野外利用确认

该漏洞已被明确标注为"在野外被积极利用"。微软安全响应中心发布的官方公告也明确指出这一点,这与部分报道中"尚未被CISA KEV收录"的描述并不矛盾——CISA的收录存在一定滞后性,但漏洞的实际危害已经发生。

该漏洞由匿名安全研究人员发现并私下报告,而非通过微软的漏洞赏金计划或公开渠道披露。这种报告方式往往意味着漏洞信息可能已在更广泛的范围内流传,攻击者可能比公众更早知晓相关细节。

历史脉络与威胁演进

CVE-2026-42897并非微软Exchange Server首次出现的高危漏洞。回顾近年来Exchange Server的安全事件:

2019-2020年:Exchange的黑暗时期

  • CVE-2020-0688:Exchange控制面板远程代码执行
  • CVE-2021-26855至CVE-2021-27065(ProxyLogon):大规模APT攻击利用
  • CVE-2021-34473至CVE-2021-42321(ProxyShell):类似攻击链的演进

2021-2024年:持续高压

据HEAL Security报告,CISA数据显示过去五年间已有19个微软Exchange Server漏洞被添加到已知被利用漏洞目录,其中14个被明确用于勒索软件攻击。

CVE-2026-42897的攻击模式与早期的ProxyLogon、ProxyShell漏洞存在相似性——都是通过OWA界面作为入口,利用服务器端组件的处理缺陷实现攻击链的延伸。这种"邮件入口+服务端利用"的组合拳,一直是APT组织和经济利益驱动型攻击者的最爱。

关联威胁活动

据HEAL Security同期监测,APT组织正在全球范围内针对制造业和供应链企业部署名为TencShell的新型恶意软件。虽然目前没有直接证据表明TencShell与CVE-2026-42897存在关联,但这种时间线上的巧合值得关注——国家级APT组织通常会优先储备和利用高价值零日漏洞,而Exchange Server作为企业核心通信平台,一直是这类组织的优先目标。

国内影响分析

受影响范围

国内使用微软Exchange Server本地部署版本的用户群体主要集中在以下行业:

  • 大型企业:尤其是外资企业和跨国公司的国内分支机构
  • 政府机构:部分党政机关曾使用Exchange作为邮件系统
  • 金融机构:银行、证券、保险等行业存在一定部署量
  • 高校和科研机构:学术邮箱系统常用Exchange架构

需要指出的是,近年来国内信创替代进程加速,越来越多的政府机关和关键信息基础设施运营单位已将邮件系统迁移至国产解决方案,这在一定程度上降低了个体风险。

当前威胁等级

对于国内普通企业用户:短期内的直接威胁相对可控,原因包括:该漏洞利用需要发送特制邮件针对性投递、Exchange Server国内部署量呈下降趋势、国内邮箱系统存在额外的安全防护层。

对于高价值目标:风险等级维持在高水平。APT组织历来重视对Exchange Server漏洞的储备和利用,任何在野0day都可能已被纳入攻击工具库。金融、政府、关键基础设施等行业的Exchange Server用户应视为优先防护对象。

防御建议

立即行动(24小时内)

  1. 确认当前Exchange Server版本,确认是否在受影响范围内
  2. 检查是否已启用Exchange Emergency Mitigation Service (EEMS)
  3. 审查OWA访问日志,关注异常的邮件访问行为
  4. 对Exchange Server管理员账户实施额外的多因素认证

短期措施(1周内)

  1. 限制OWA的外部访问,仅保留必要的业务通道
  2. 加强邮件网关的入站检查规则,对异常HTML邮件内容实施过滤
  3. 向安全运营团队通报该漏洞,要求提高威胁监测级别
  4. 制定紧急补丁部署计划,一旦微软发布官方修复,立即部署

中长期建议

  1. 加速Exchange Server向云端Exchange Online或国产邮件系统的迁移
  2. 建立Exchange Server的持续安全监测机制
  3. 定期开展邮件系统安全评估和渗透测试

微软官方缓解措施

微软已发布临时缓解指导,核心措施包括:

Exchange Emergency Mitigation Service (EEMS)

这是微软为Exchange Server提供的紧急缓解服务,类似于自动化的安全补丁机制。启用EEMS后,当微软推送特定漏洞的缓解规则时,Exchange Server会自动应用这些规则,无需管理员手动干预。

建议操作步骤

  1. 确保Exchange Server的EEMS服务处于启用状态
  2. 检查Windows Server上的Microsoft Exchange Mitigation Service运行状态
  3. 应用微软建议的URL重写规则,对OWA请求进行过滤

微软表示永久修复补丁正在开发中,但目前无法给出具体时间表。这种"补丁在路上"的状态预计将持续数周,期间组织需要依靠缓解措施和持续监控来降低风险。

总结与展望

CVE-2026-42897的出现再次提醒我们,微软Exchange Server作为企业通信的核心基础设施,其安全性始终是攻防博弈的焦点。该漏洞的高CVSS评分、已确认的野外利用、以及被APT组织青睐的历史传统,共同构成了的威胁态势。

国内用户虽然当前面临的紧迫风险相对可控,但不应放松警惕。国家级APT组织对高价值目标的持续关注,意味着任何0day漏洞都可能在某个时刻被"激活"。组织应借此机会重新审视自身的Exchange Server安全态势,加速向更安全的架构迁移,同时保持对类似漏洞情报的持续关注。

最后提醒,安全是一场持久战,而非遭遇战。保持警惕,持续监测,果断响应,才是应对这类安全事件的正确姿势。

参考来源

  • https://cyberwebspider.com/security-week-news/urgent-advisory-exchange-server-zero-day/
  • https://www.news4hackers.com/microsoft-warns-hackers-exploiting-unpatched-exchange-server-vulnerability
  • https://radar.offseq.com/microsoft-warns-exchange-server-zero-day-exploited-wild
  • https://healsecurity.com/on-prem-microsoft-exchange-server-cve-2026-42897-exploited-via-crafted-email
  • https://allthingsgeek.me/exchange-zero-day-vulnerability-being-exploited

声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。