行業新聞與部落格

微軟警告稱，存在一個高危零日漏洞，攻擊者可以透過向 Outlook 使用者傳送特製電子信箱，向受害者傳送任意程式碼。

該漏洞編號為 CVE-2026-42897，是由於 Microsoft Exchange Server 在網頁生成過程中輸入處理不當（也稱為跨站指令碼攻擊 (XSS)）造成的，這使得未經授權的攻擊者能夠透過網路執行欺騙操作。

該高危漏洞（CVSS 評級為 8.1）由這家科技巨頭於 5 月 14 日披露，會影響某些本地部署的 Exchange Server 版本：

• 所有現有的 Exchange Server 2016 版本
• 所有現有的 Exchange Server 2019 版本
• 所有現有的 Exchange Server 訂閱版 (SE) 版本

它不會影響 Exchange Online 。

補丁開發期間，將提供臨時解決方案。

微軟尚未釋出針對此漏洞的補丁。

然而，在 5 月 14 日釋出的安全公告中，Exchange 團隊分享了安全團隊在補丁釋出之前可以採取的兩種方法來減輕此漏洞潛在利用的影響。

微軟推薦的第一種方案是使用 Exchange 緊急緩解 (EM) 服務。

如果 EM 服務已啟用（預設情況下已啟用），則緩解措施已自動應用。

管理員可以透過以下方式驗證：

• 透過文件檢查針對 CVE-2026-42897 (M2.1.x) 所應用的緩解措施。
• 執行 Exchange 健康檢查指令碼以快速檢查 EM 服務的狀態和已應用的緩解措施
• 如果 EM 服務當前已停用，請啟用它，微軟強烈建議這樣做。

請注意，執行 2023 年 3 月之前版本的伺服器無法透過此服務接收新的緩解措施。

第二個緩解方案適用於無法使用 EM 服務的環境，例如斷開連線或物理隔離的環境。

管理員可以透過以下方式手動應用緩解措施：

• 下載最新版本的 Exchange 本地部署緩解工具 (EOMT)
• 從提升許可權的 Exchange 管理外殼執行提供的 PowerShell 指令碼，使用 CVE-2026-42897 識別符號，可以針對單個伺服器或所有伺服器同時進行攻擊。

微軟承認，這兩種緩解措施都可能導致問題，例如停用或中斷某些功能（例如 OWA 列印日曆、內嵌影像）。

該公司正在為受影響的 Exchange 伺服器開發安全補丁。

Exchange SE 更新將作為公開可用的安全更新發布，而 Exchange 2016 和 2019 的更新將僅釋出給已註冊參加第二階段 Exchange Server ESU 計劃的客戶。