0

微软披露 Exchange Server 严重漏洞,暂无完整修复方案

微软近日发布安全公告,披露 Exchange Server 2016、2019 和 SE 版本中存在一个严重安全漏洞,编号 CVE-2026-42897。该漏洞允许攻击者通过发送特制邮件,在受害者使用 Outlook Web Access (OWA) 打开并交互时执行任意 JavaScript 代码。目前官方尚未推出完整修复方案,仅提供临时缓解措施。

漏洞影响范围与攻击方式

该漏洞影响 Exchange Server 2016、2019 以及 Exchange Server SE(Subscription Edition)版本。攻击者需向目标发送特制邮件,受害者在 OWA 中打开该邮件并按特定方式与之交互后,攻击者即可在受害者浏览器上下文中执行任意 JavaScript 代码。微软已为该漏洞分配最高严重等级”危急”(Critical)。

临时缓解措施

微软目前提供两种临时缓解方案:

  • 方案一(推荐):启用 Exchange EM Service。该服务于 2021 年 9 月发布,默认处于启用状态。仅对明确禁用此服务的客户造成影响,启用后可自动阻断该攻击向量。
  • 方案二:针对已禁用 Exchange EM Service 的客户,可应用脚本化缓解流程。

缓解措施的副作用

上述缓解措施并非完善解决方案,可能引发以下问题:

  • OWA 打印日历功能可能失效,建议复制数据截图或使用 Outlook 桌面客户端
  • 内联图片可能无法在收件人 OWA 阅读窗格中正确显示,建议将图片作为附件发送或使用 Outlook 桌面客户端
  • OWA 轻量版(URL 以 /?layout=light 结尾)无法正常工作,该功能已弃用多年
  • 缓解详情页面可能显示”Mitigation invalid for this exchange version”提示,该问题仅为显示错误,若状态显示为”Applied”则缓解措施已成功应用

后续修复计划

微软正在开发完善的修复方案。Exchange SE 将通过公开更新获得补丁;Exchange 2016 和 2019 的更新仅提供给已购买 Exchange Server 扩展安全更新(ESU)计划第二阶段(Period 2)的客户。第一阶段(Period 1)客户将无法获得更新,因其计划已于 2026 年 4 月到期。Exchange Online 用户不受此漏洞影响。

via Neowin

0 评论
最旧
最新 最多投票
0
希望看到您的想法,请您发表评论x