文章总结: 本文详细分析了CVE-2026-42897,一个影响ExchangeServerOWA的反射型XSS漏洞,CVSS评分8.1。攻击者通过发送特制邮件,在受害者打开邮件时即可实现同源会话劫持,无需用户交互。攻击链包括资产发现、版本识别、邮件投送、会话内操作、创建转发规则持久化及横向移动。文章提供了检测方法如排查异常转发规则,并指出微软EEMS缓解措施存在盲区,如不保护IE兼容模式用户。建议立即检查EEMS部署、审计转发规则并准备6月补丁。 综合评分: 95 文章分类: WEB安全,红队,漏洞分析,安全运营,安全工具
一封邮件、零点击、零门槛:拆解 2026 年最让企业 IT 头疼的 Exchange XSS 攻击链(CVE-2026-42897 )
原创
威胁情报中心 威胁情报中心
奇安信威胁情报中心
2026年7月7日 11:24 北京
在小说阅读器读本章
去阅读
事件脉络:从披露到大规模利用只用了 24 小时
2026 年 5 月 14 日,微软通过 MSRC 公开披露 CVE-2026-42897,一处位于 Exchange Server Outlook Web Access(OWA)的反射型跨站脚本漏洞,CVSS 评分 8.1。第二天,也就是 5 月 15 日,CISA 就将该编号列入 Known Exploited Vulnerabilities(KEV)目录,给美国联邦民用机构的修复截止日期是 5 月 29 日。从这个节奏可以看出:这个零日不是”理论上能打”,而是已经在野外被实际利用。
最关键的时间窗口问题在于:5 月 12 日的 Patch Tuesday 修复了 138 个 CVE,但偏偏没修这个。微软的官方通告指向 6 月 10 日的 Patch Tuesday 作为首个完整补丁窗口,这意味着在 5 月 14 日到 6 月 10 日之间将近一个月的窗口期内,没有任何永久补丁可用,只能靠临时缓解措施扛。
受影响的产品是 Exchange Server 2016、Exchange Server 2019 以及 Exchange Server Subscription Edition(SE)三个目前仍在支持周期的本地部署版本。Exchange Online(Microsoft 365)不受影响。
技术原理:为什么这次 XSS 比”普通 XSS”危险得多
CVE-2026-42897 的根因是 OWA 在渲染邮件内容时未对特定用户输入做充分的输出转义,属于 CWE-79 分类的标准反射型 XSS。但把它放在 Exchange Server 这个位置上,威胁就被放大了好几个量级。
攻击路径的最小化是这个漏洞最让人警惕的地方。攻击者只需要发送一封精心构造的邮件,受害者在 OWA 里打开这封邮件,在特定交互条件下,攻击者控制的 JavaScript 就在受害者已认证的浏览器会话中执行了。不需要点附件,不需要确认宏,不需要二次点击。对比传统钓鱼邮件需要诱导用户下载可执行文件或点击可疑链接的流程,这次的攻击把”用户需要做错什么”这个门槛几乎降到了零。
接下来是这次利用手法里最值得展开的部分:攻击者放弃了传统的 Cookie 窃取路线。现代浏览器对 HttpOnly 标记的 Session Cookie 有保护机制,恶意 JavaScript 没法直接读到。但这不代表攻击者就无计可施。他们走的是同源会话劫持(same-origin session riding)这条路:恶意脚本直接在受害者浏览器标签页里以受害者身份调用 OWA 的认证 API。读邮件、发邮件、改日历、读通讯录,全都在合法会话的上下文里完成,MAPI-over-HTTP 请求从安全设备的角度看就是正常的用户操作。
Fortbridge 的研究员 Bogdan Tiron 有一句话值得记住:”无聊的漏洞才是最持久的。”XSS 不是新东西,但放在 Exchange 这个企业通信枢纽上,它的破坏力跟一个独立的 Web 论坛里的 XSS 完全不是一回事。
攻击链全貌:从 Shodan 扫描到邮件持续外泄
把这六步攻击链拆开来看,每一步的技术门槛都不高,但组合起来构成了一个完整的入侵闭环:
第一步——OWA 资产发现。 攻击者通过 Shodan 这类互联网资产搜索引擎快速定位公网可访问的 OWA 端点,通常模式是 mail.unternehmen.de/owa 或类似子域名。这类端点在德国(DACH)地区的中型企业中尤其常见,因为很多公司仍把 OWA 作为外勤和远程办公的备用访问入口直接暴露在公网上。
第二步——版本识别。 通过 OWA 登录页面或特定资源路径的指纹特征,确认目标运行的是 Exchange Server 2016、2019 还是 SE,以及当前的补丁级别。版本越旧、补丁越少的资产优先级越高。
第三步——投送特制邮件。 攻击者发送一封包含恶意 HTML/脚本内容的钓鱼邮件到目标 OWA 邮箱。不需要社工诱导收件人做任何主动操作,只要邮件在 OWA 中被渲染(无论是预览还是打开),脚本就会执行。
第四步——会话内操作。 利用同源会话劫持,以受害者身份调用 OWA 的认证 API,完成以下动作:读取邮箱内容(情报收集)、枚举通讯录(为横向移动做准备)、以及最关键的一步——创建邮件转发规则。
第五步——持久化。 这是整个攻击链中最阴险的部分。攻击者在受害者邮箱里植入自动转发规则,把所有收到的邮件复制到攻击者控制的外部地址。即使受害者事后改了密码,这些规则依然存在并且有效,因为它们是以邮箱为单位存储的,不受用户认证凭据变更影响。改密码的唯一作用是让受害者产生虚假的安全感。
第六步——横向移动与 BEC 升级。 利用从邮箱中收集到的通讯录和邮件历史,识别出高管层和财务部门的关键人员,准备定向的邮件攻击,攻击目标从”单点入侵”升级为”商业邮件欺诈”(BEC)。在这个阶段,攻击者完全可以利用被攻陷邮箱的历史邮件上下文,伪造一封看起来完全合法的财务审批邮件。
检测视角:哪些信号能暴露已被利用
光打补丁不够。对于那些可能在 5 月 14 日之前就已经被利用的环境,关键是检测已有攻陷。
最直接的检测信号是异常的邮件转发规则。具体来说,工作时间之外创建的、指向外部域名的、此前不存在的转发或重定向规则。CVE-2026-42897 被野外利用后,SOC 团队应当立即执行以下 PowerShell 查询来排查所有邮箱:
Get-Mailbox -ResultSize Unlimited | Get-InboxRule | Where-Object { $_.ForwardTo -ne $null -or $_.RedirectTo -ne $null }
任何指向未识别外部域的规则都应当视为失陷指标。回溯检查的日志范围应至少覆盖到 5 月初,因为野外利用可能先于微软 5 月 14 日的披露。
其他辅助信号还包括:OWA 日志中异常的 MAPI-over-HTTP 请求模式、凌晨时段的大量邮件读取操作、原本活跃的邮箱突然出现大量转发规则变更事件、以及 OWACalendar.Proxy 健康集报告异常(不过要注意,启用缓解措施后这个健康集会正常报错,需要在监控规则中抑制以避免警报疲劳)。
缓解措施的实际效果与已知盲区
微软主推的缓解方案是 Exchange Emergency Mitigation Service(EEMS)。在联网且受支持的 Exchange Server 上,EEMS 默认启用,会自动下载并部署针对 CVE-2026-42897 的中间缓解规则(M2.1.x 系列)。对于离线或隔离网络环境,Exchange On-Premises Mitigation Tool(EOMT)通过手动 PowerShell 部署提供同等能力。
但 EEMS 不是银弹。微软在 5 月 18 日更新了通告,明确了几条已知保护盲区:
通过 Internet Explorer 或 Edge 的 IE 兼容模式访问 OWA 的用户不受 EEMS 保护。任何仍在使用遗留门户、IE 封装的内网工具、或 Edge IE 兼容模式的企业在部署 EEMS 后仍然完全暴露。
此外,启用缓解措施会破坏部分 OWA 功能:打印日历功能失效、内联图片渲染异常、OWA Light 界面(/?layout=light)停止工作。OWACalendar.Proxy 健康集会报告不健康,对依赖 Exchange 健康端点监控的运维团队来说会产生误报。缓解措施上线后应当在监控系统中显式抑制这些已知的误报信号,避免淹没真实的攻击指标。
谁在用这个零日:归因与使用场景判断
截至目前,没有明确的 APT 组织归因。从技术特征和利用模式来看,这次的利用更符合三类威胁行为体的行为画像:
商业邮件欺诈团伙。 这是最可能的使用者。XSS + OWA 会话劫持 + 转发规则持久化是教科书级的 BEC 前置准备链路。攻击者拿到单点访问后升级到对高管层和财务部门的定向欺诈,投入产出比极高。
勒索软件附属团伙的初始访问掮客。 Exchange 在勒索软件生态中一直是高价值初始访问目标。ProxyLogon(2021)和 ProxyShell(同年)已经验证了这条路径。CVE-2026-42897 的利用门槛更低,代码成熟后被批量武器化分发给 IAB 的概率很高。
国家级行为体。 Exchange 作为企业通信枢纽对情报收集的价值不言而喻。同源会话劫持允许静默读取邮件内容而不触发安全警报,这种能力对 APT 组织有持续的吸引力。但国家级行为体通常不会在补丁发布前就高调利用同一漏洞,除非已经通过其他渠道拿到了情报时效优势。
奇安信威胁情报建议
对于在国内运营 Exchange Server 2016/2019/SE 的企业,建议按以下优先级行动:
- 立即检查 EEMS 部署状态。运行 Exchange Health Checker 脚本,查看报告中是否包含 EEMS 检查部分,确认 M2.1.x 缓解规则已自动部署。
- 对所有邮箱执行转发规则排查。使用上述 PowerShell 命令审计所有邮箱的 InboxRule,重点关注指向外部域名的转发和重定向规则。
- 核查 OWA 访问方式。如果企业内仍存在 IE 或 Edge IE 兼容模式的 OWA 访问场景,EEMS 无法覆盖,需要手动应用 EOMT 或通过组策略限制浏览器使用方式。
- 监控层适配。更新 SOC 检测规则,对工作时间外的 OWA 转发规则创建事件、异常的 MAPI-over-HTTP 请求频次、以及 OWACalendar.Proxy 误报做明确处理。
- 准备 6 月 10 日补丁部署。在永久补丁发布后优先安排关键 Exchange Server 的更新,验证缓解措施与完整补丁的兼容性。
技术附录
MITRE ATT&CK 技术映射
| 战术阶段 | 技术编号 | 技术名称 | 对应行为 | | — | — | — | — | | 初始访问 | T1190 | 利用面向公网的应用程序 | 通过 OWA 端点的 XSS 漏洞获得初始入侵 | | 初始访问 | T1566.001 | 鱼叉式钓鱼附件 | 投送含恶意脚本内容的特制邮件 | | 执行 | T1059.007 | JavaScript 执行 | 在受害者浏览器上下文中执行恶意 JS | | 凭据访问 | T1185 | 浏览器会话劫持 | 通过同源会话劫持控制已认证 OWA 会话 | | 发现 | T1087.003 | 邮件账户发现 | 枚举通讯录识别高管和财务人员 | | 收集 | T1114.002 | 远程邮件收集 | 通过 MAPI-over-HTTP 读取邮箱内容 | | 持久化 | T1098 | 账户操纵 | 创建邮件转发规则实现长期数据外泄 | | 命令与控制 | T1071.001 | Web 协议 | 利用 HTTPS 上的 OWA API 进行 C2 通信 | | 数据外泄 | T1567 | 通过 Web 服务外泄 | 通过转发规则将邮件持续外传到外部地址 |
IOC 指标
| 类型 | 指标 | 说明 | | — | — | — | | 域名(模式) | mail.unternehmen.de | 德语区典型 OWA 端点模式(unternehmen.de 为示例),用于资产发现阶段的目标枚举 |
CISA KEV 与合规信息
- CISA-KEV 收录日期:2026 年 5 月 15 日
- 美国联邦民用机构修复截止日期:2026 年 5 月 29 日
- BSI(德国联邦信息安全办公室)已发布态势感知更新和防护建议
检测规则参考(Sigma 风格伪代码)
title: OWA Inbox Forwarding Rule Created Outside Business Hours
status: experimental
logsource:
product: exchange
service: owa
detection:
selection:
EventID: 1 # InboxRule 创建事件
RuleAction: ForwardTo|RedirectTo
filter_business_hours:
HourOfDay: 8-18
timeframe: 24h
condition: selection and not filter_business_hours
level: high
description: 检测工作时间外创建的邮件转发规则,CVE-2026-42897 利用后的典型持久化行为
参考来源
- https://x.com/GreyZoneSec/status/2074160981522215267
- https://www.securitytoday.de/2026/05/26/exchange-zero-day-cve-2026-42897-owa-spoofing-sofort-patch/
- https://algeriatech.news/algeria-cisos-microsoft-exchange-owa-zero-day-cve-2026-42897-patch-playbook-2026/
- https://x.com/chris_uk2026/status/2064979062397784173
- https://byteiota.com/exchange-zero-day-cve-2026-42897-owa-mitigation/
- https://adsecvn.com/canh-bao-lo-hong-zero-day-nghiem-trong-tren-exchange-server/
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:奇安信威胁情报中心 威胁情报中心 威胁情报中心《一封邮件、零点击、零门槛:拆解 2026 年最让企业 IT 头疼的 Exchange XSS 攻击链(CVE-2026-42897 )》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论