Microsoft 修补遭利用的 Exchange Server 漏洞

Microsoft 最新的 Patch Tuesday 更新修复了一个正在被积极利用的 Exchange Server 漏洞，编号为 CVE-2026-42897。

这家科技巨头于 5 月 14 日向 Exchange 用户发出警告，提醒存在利用 CVE-2026-42897 的零日攻击，当时提供了临时缓解措施。

CISA 于 5 月 15 日将该安全漏洞添加到其已知被利用漏洞（KEV）目录中，指示联邦机构在 5 月 29 日之前解决该问题。

该漏洞是一个欺骗和跨站脚本（XSS）缺陷，影响 Exchange Server Subscription Edition、2016 和 2019 版本。

Microsoft 在其公告中表示："攻击者可以通过向用户发送特制电子邮件来利用此问题。如果用户在 Outlook Web Access 中打开该电子邮件并满足某些交互条件，则可以在浏览器上下文中执行任意 JavaScript。"

该公司于 6 月 9 日发布了该漏洞的补丁，并敦促客户尽快安装安全更新。

Microsoft 从一位要求匿名的研究员处获悉该漏洞，目前尚不清楚攻击的幕后黑手是谁或目标是谁。

CISA 的 KEV 目录包含二十多个 Exchange 漏洞，数据显示，虽然利用在 2021 年至 2023 年间激增，但在 2025 年未添加新条目，且 2026 年至今仅添加了 CVE-2026-42897。

这表明如今 Exchange 的利用频率远低于高峰期。