微軟於 2026 年 5 月 14 日披露一項影響本地部署 Exchange Server 的高嚴重性零時差漏洞,追蹤編號為 CVE-2026-42897,通用漏洞評分系統(CVSS)評分為 8.1 分。目前已確認該漏洞遭實際利用。美國網路安全暨基礎設施安全局(CISA)也於 5 月 15 日將其納入已知遭利用漏洞(KEV)目錄,要求聯邦民事行政部門(FCEB)機構最遲於 5 月 29 日前完成緩解措施。
漏洞成因與攻擊手法
此漏洞的根源在於 Exchange Server 產生網頁時未能妥善過濾輸入內容,屬於跨站腳本(XSS)缺陷,進而帶來網路層級的偽冒風險。
攻擊者無需任何憑證,只要向目標使用者寄送一封惡意電子郵件;一旦收件人透過 Outlook Web Access(OWA)開啟郵件,並在特定互動條件下觸發漏洞,便可在受害者瀏覽器環境中執行任意 JavaScript 程式碼。此攻擊路徑門檻低、影響範圍大,是該漏洞被評為高危的主要原因。
值得注意的是,目前外界仍不清楚攻擊者身分、攻擊規模,以及是否已有受害者確認遭成功入侵。微軟亦尚未釋出正式安全性修補程式,僅提供暫時性緩解措施。
受影響版本
受影響版本涵蓋目前仍在使用的三個主要 Exchange 本地端系列:
Exchange Server 2016 的所有更新層級、Exchange Server 2019 的所有更新層級,以及 Exchange Server Subscription Edition(SE)的所有更新層級。雲端版本 Exchange Online 不受影響。
緩解措施
微軟目前提供兩種緩解路徑,管理員可依環境條件選擇適用方式。
方法一:Exchange 緊急緩解服務(Exchange Emergency Mitigation Service,EEMS)
此為微軟優先推薦的方式。EEMS 預設為啟用狀態,會自動透過 URL 重寫設定套用緩解規則。管理員可執行 Exchange Health Checker 腳本,確認 EEMS 狀態,以及 CVE-2026-42897(M2.1.x)緩解項目是否已成功套用。若 EEMS 目前處於停用狀態,微軟強烈建議立即啟用。需要特別注意的是,若伺服器版本早於 2023 年 3 月的更新,將無法透過此服務接收新的緩解規則。
方法二:Exchange 本地端緩解工具(Exchange On-Premises Mitigation Tool,EOMT)
針對因隔離網路或斷網限制而無法使用 EEMS 的環境,管理員可從官方網址 aka.ms/UnifiedEOMT 下載最新版 EOMT,並透過提升權限的 Exchange Management Shell(EMS)執行 PowerShell 腳本。若僅需針對單一伺服器套用緩解,執行
.\\EOMT.ps1 -CVE "CVE-2026-42897";若需一次套用至所有非 Edge 角色伺服器,則執行
Get-ExchangeServer | Where-Object { $_.ServerRole -ne "Edge" } | .\\EOMT.ps1 -CVE "CVE-2026-42897"。
此外,微軟坦承兩種緩解方式都可能導致部分功能異常,例如 OWA 列印行事曆及郵件內嵌圖片顯示功能可能受到影響。
針對套用後出現「Mitigation invalid for this exchange version.」提示的已知問題,微軟 Exchange 團隊說明此為顯示層面的誤報;只要狀態欄位顯示「Applied」,緩解措施即已實際生效。目前團隊正在研究如何修正該顯示問題。
修補時程與 ESU 方案
微軟表示正積極開發正式安全性修補程式。Exchange SE 的更新將以公開安全性更新的形式發布;Exchange Server 2016 與 2019 的修補程式則僅提供給已加入「Period 2 Exchange Server 延伸安全性更新(ESU)」方案的客戶。此安排意味著未訂閱 ESU 計畫的 Exchange 2016 與 2019 用戶,未來恐怕無法取得正式修補程式,組織應及早評估升級或訂閱計畫的必要性。
防護建議
- 立即確認 EEMS 服務是否啟用,並驗證 CVE-2026-42897 緩解項目狀態是否顯示為「Applied」
- 隔離網路環境應下載最新版 EOMT 並手動執行緩解腳本
- Exchange Server 版本若早於 2023 年 3 月,需評估升級以支援 EEMS 自動緩解機制
- Exchange 2016 與 2019 用戶應確認是否已加入 ESU 計畫,以確保後續能收到正式修補程式
- 持續關注微軟安全回應中心(MSRC)及 Exchange 官方部落格的最新公告
本文轉載自 TheHackerNews、InfosecurityMagazine。