2024年10月21日,青岛讯------企业邮件安全领域再度拉响警报。微软本周紧急披露,其Exchange Server产品存在一处已被野外利用的零日漏洞,攻击者仅需发送一封精心构造的邮件,即可在目标用户的浏览器中执行任意代码。安全专家将此威胁等级评定为"刻不容缓",并直言本地部署Exchange的时代正在加速终结。
漏洞详情:CVE-2026-42897与"Toast攻击"
微软官方确认,该漏洞编号为CVE-2026-42897,存在于Exchange Outlook Web Access(OWA)的网页生成过程中,本质上是一起跨站脚本攻击(XSS)事件。当受害者在OWA中打开恶意邮件,并在特定交互条件下触发时,攻击者注入的JavaScript代码便能在浏览器上下文中运行。
安全界将这轮攻击称为**"Toast攻击"** ------因为攻击者利用了系统通知弹窗(Toast Notification)机制诱导用户交互,整个过程几乎"无需点击"即可完成入侵。朝鲜APT组织已被确认利用此漏洞对全球多个目标发起定向攻击。
受影响版本涵盖Exchange Server 2016、2019以及Server Subscription Edition(SE) ,无论系统更新到哪个补丁级别均存在风险。值得庆幸的是,基于云端的Exchange Online服务不在影响范围内,这进一步印证了微软推动企业上云的安全战略。
专家疾呼:这不是"下周打补丁"的事
Enderle Group首席分析师Rob Enderle的态度异常强硬:"漏洞已经在实际环境中被利用,这不是那种可以等到下周再处理的常规补丁,而是现在、立刻、马上必须缓解的紧急状况。"
SANS研究所研究主任Johannes Ullrich则从架构层面给出了更深刻的判断:"在OWA这类Web邮件系统中彻底杜绝XSS几乎是不可能的。系统必须把用户发送的HTML邮件嵌入到自身的HTML框架里,两者的边界一旦模糊,攻击面就自然产生。虽然沙盒化的iFrame能缓解风险,但实施起来远比想象中复杂。"
Ullrich还提到,这类XSS漏洞在实战中通常被用来读取受害者邮箱内容,极端情况下甚至能冒用身份发送邮件。不过他也带来了一丝宽慰:"好在不少企业已经提前弃用了本地Exchange和OWA,算是躲过了一劫。"
DeepCove Cybersecurity首席技术官Kellman Meghu的评论更加直白:"这个漏洞确实很糟,但说实话,在2024年还在跑本地Exchange本身就不是什么明智选择。"
临时缓解方案与已知副作用
由于正式补丁尚在开发中,微软目前只能提供紧急缓解措施。如果服务器上启用了Exchange紧急缓解服务(EM Service)------该服务自2021年9月起默认开启------那么自动缓解规则应该已经下发到位。
管理员需要立即确认EM服务处于运行状态。需要注意的是,若服务器仍停留在2023年3月之前的旧版本,EM服务将无法获取最新的缓解规则。对于物理隔离环境或无法连接EM服务的服务器,微软提供了Exchange本地缓解工具(EOMT) ,需通过提升权限的Exchange管理外壳逐台或批量执行脚本。
然而,这套临时方案并非完美无缺。启用缓解措施后,OWA的日历打印功能会失效,内嵌图片在阅读窗格中可能显示异常,早已弃用的OWA轻量版(URL以/?layout=light结尾)也会彻底无法访问。部分管理员还反馈,缓解状态页面会误报"此缓解措施不适用于此Exchange版本",但只要状态显示"已应用",实际防护就是生效的------微软正在排查这一显示故障。
云迁移:从可选项变为必选项
Rob Enderle认为,微软这次打破常规、不惜牺牲部分OWA功能也要强推缓解措施的做法,"清楚暴露了他们急于止损的焦虑"。他建议首席安全官们把这次事件当作安全自动化能力的试金石:如果团队已经启用了EM服务,请立即验证"M2缓解措施"是否在所有资产上生效;如果是隔离环境或手动管理,那么在运行EOMT脚本之前,企业基本处于"裸奔"状态。
更深层的信号在于,微软正在借这次零日事件加速推动企业告别本地Exchange。Enderle分析道:"如果你至今没有制定退出本地Exchange的计划,随着零日漏洞成为新常态,你的风险曲线只会越来越陡峭。无论IT部门主观意愿如何,Azure乃至整个Web服务产业都在推动这场迁移。"
Johannes Ullrich也表达了相似观点:"寻找值得信赖的云邮件服务商已经不再是锦上添花,而是生存必需。本地Exchange正在退出历史舞台,那些因特殊原因仍需保留的组织,也应当尽可能缩小其对外暴露面。"
补丁时间表与ESU计划限制
微软在官方通报中仅表示,受影响版本的补丁将在"未来某个时间点"发布,涵盖Exchange SE RTM、Exchange 2016 CU23以及Exchange 2019 CU14和CU15。运行更旧累积更新版本的用户被强烈建议立即升级。
补丁分发策略也存在明显差异:Exchange SE将以公开安全更新的形式推送;而Exchange 2016和2019的补丁仅面向已加入第二阶段Exchange Server扩展安全更新(ESU)计划 的客户提供。只参与了第一阶段ESU计划的用户将无法获得此次更新------该计划已于上月正式结束。
企业应对建议
面对这一高危零日威胁,企业安全团队应当立即开展以下工作:
确认所有本地Exchange服务器已启用EM服务并接收最新缓解规则。对于无法自动更新的老旧版本,优先安排升级或切换至Exchange Online。在正式补丁发布前,教育用户警惕来源不明的邮件,避免在OWA中随意点击可疑内容。同时,安全团队应检查邮件网关日志,寻找异常的JavaScript执行痕迹。
这场由朝鲜黑客发起的"Toast攻击"再次证明,企业邮件系统作为数字资产的核心枢纽,其安全防护不能有丝毫懈怠。本地部署模式的黄昏或许真的已经来临。