2024年10月21日青岛讯——企业邮件安全领域再度拉响警报。微软本周紧急披露其Exchange Server产品存在一处已被野外利用的零日漏洞攻击者仅需发送一封精心构造的邮件即可在目标用户的浏览器中执行任意代码。安全专家将此威胁等级评定为刻不容缓并直言本地部署Exchange的时代正在加速终结。漏洞详情CVE-2026-42897与Toast攻击微软官方确认该漏洞编号为CVE-2026-42897存在于Exchange Outlook Web AccessOWA的网页生成过程中本质上是一起跨站脚本攻击XSS事件。当受害者在OWA中打开恶意邮件并在特定交互条件下触发时攻击者注入的JavaScript代码便能在浏览器上下文中运行。安全界将这轮攻击称为Toast攻击——因为攻击者利用了系统通知弹窗Toast Notification机制诱导用户交互整个过程几乎无需点击即可完成入侵。朝鲜APT组织已被确认利用此漏洞对全球多个目标发起定向攻击。受影响版本涵盖Exchange Server 2016、2019以及Server Subscription EditionSE无论系统更新到哪个补丁级别均存在风险。值得庆幸的是基于云端的Exchange Online服务不在影响范围内这进一步印证了微软推动企业上云的安全战略。专家疾呼这不是下周打补丁的事Enderle Group首席分析师Rob Enderle的态度异常强硬漏洞已经在实际环境中被利用这不是那种可以等到下周再处理的常规补丁而是现在、立刻、马上必须缓解的紧急状况。SANS研究所研究主任Johannes Ullrich则从架构层面给出了更深刻的判断在OWA这类Web邮件系统中彻底杜绝XSS几乎是不可能的。系统必须把用户发送的HTML邮件嵌入到自身的HTML框架里两者的边界一旦模糊攻击面就自然产生。虽然沙盒化的iFrame能缓解风险但实施起来远比想象中复杂。Ullrich还提到这类XSS漏洞在实战中通常被用来读取受害者邮箱内容极端情况下甚至能冒用身份发送邮件。不过他也带来了一丝宽慰好在不少企业已经提前弃用了本地Exchange和OWA算是躲过了一劫。DeepCove Cybersecurity首席技术官Kellman Meghu的评论更加直白这个漏洞确实很糟但说实话在2024年还在跑本地Exchange本身就不是什么明智选择。临时缓解方案与已知副作用由于正式补丁尚在开发中微软目前只能提供紧急缓解措施。如果服务器上启用了Exchange紧急缓解服务EM Service——该服务自2021年9月起默认开启——那么自动缓解规则应该已经下发到位。管理员需要立即确认EM服务处于运行状态。需要注意的是若服务器仍停留在2023年3月之前的旧版本EM服务将无法获取最新的缓解规则。对于物理隔离环境或无法连接EM服务的服务器微软提供了Exchange本地缓解工具EOMT需通过提升权限的Exchange管理外壳逐台或批量执行脚本。然而这套临时方案并非完美无缺。启用缓解措施后OWA的日历打印功能会失效内嵌图片在阅读窗格中可能显示异常早已弃用的OWA轻量版URL以/?layoutlight结尾也会彻底无法访问。部分管理员还反馈缓解状态页面会误报此缓解措施不适用于此Exchange版本但只要状态显示已应用实际防护就是生效的——微软正在排查这一显示故障。云迁移从可选项变为必选项Rob Enderle认为微软这次打破常规、不惜牺牲部分OWA功能也要强推缓解措施的做法清楚暴露了他们急于止损的焦虑。他建议首席安全官们把这次事件当作安全自动化能力的试金石如果团队已经启用了EM服务请立即验证M2缓解措施是否在所有资产上生效如果是隔离环境或手动管理那么在运行EOMT脚本之前企业基本处于裸奔状态。更深层的信号在于微软正在借这次零日事件加速推动企业告别本地Exchange。Enderle分析道如果你至今没有制定退出本地Exchange的计划随着零日漏洞成为新常态你的风险曲线只会越来越陡峭。无论IT部门主观意愿如何Azure乃至整个Web服务产业都在推动这场迁移。Johannes Ullrich也表达了相似观点寻找值得信赖的云邮件服务商已经不再是锦上添花而是生存必需。本地Exchange正在退出历史舞台那些因特殊原因仍需保留的组织也应当尽可能缩小其对外暴露面。补丁时间表与ESU计划限制微软在官方通报中仅表示受影响版本的补丁将在未来某个时间点发布涵盖Exchange SE RTM、Exchange 2016 CU23以及Exchange 2019 CU14和CU15。运行更旧累积更新版本的用户被强烈建议立即升级。补丁分发策略也存在明显差异Exchange SE将以公开安全更新的形式推送而Exchange 2016和2019的补丁仅面向已加入第二阶段Exchange Server扩展安全更新ESU计划的客户提供。只参与了第一阶段ESU计划的用户将无法获得此次更新——该计划已于上月正式结束。企业应对建议面对这一高危零日威胁企业安全团队应当立即开展以下工作确认所有本地Exchange服务器已启用EM服务并接收最新缓解规则。对于无法自动更新的老旧版本优先安排升级或切换至Exchange Online。在正式补丁发布前教育用户警惕来源不明的邮件避免在OWA中随意点击可疑内容。同时安全团队应检查邮件网关日志寻找异常的JavaScript执行痕迹。这场由朝鲜黑客发起的Toast攻击再次证明企业邮件系统作为数字资产的核心枢纽其安全防护不能有丝毫懈怠。本地部署模式的黄昏或许真的已经来临。
微软Exchange Server曝高危零日漏洞:朝鲜黑客利用“Toast攻击“入侵企业邮件系统
发布时间:2026/5/19 6:07:33
2024年10月21日青岛讯——企业邮件安全领域再度拉响警报。微软本周紧急披露其Exchange Server产品存在一处已被野外利用的零日漏洞攻击者仅需发送一封精心构造的邮件即可在目标用户的浏览器中执行任意代码。安全专家将此威胁等级评定为刻不容缓并直言本地部署Exchange的时代正在加速终结。漏洞详情CVE-2026-42897与Toast攻击微软官方确认该漏洞编号为CVE-2026-42897存在于Exchange Outlook Web AccessOWA的网页生成过程中本质上是一起跨站脚本攻击XSS事件。当受害者在OWA中打开恶意邮件并在特定交互条件下触发时攻击者注入的JavaScript代码便能在浏览器上下文中运行。安全界将这轮攻击称为Toast攻击——因为攻击者利用了系统通知弹窗Toast Notification机制诱导用户交互整个过程几乎无需点击即可完成入侵。朝鲜APT组织已被确认利用此漏洞对全球多个目标发起定向攻击。受影响版本涵盖Exchange Server 2016、2019以及Server Subscription EditionSE无论系统更新到哪个补丁级别均存在风险。值得庆幸的是基于云端的Exchange Online服务不在影响范围内这进一步印证了微软推动企业上云的安全战略。专家疾呼这不是下周打补丁的事Enderle Group首席分析师Rob Enderle的态度异常强硬漏洞已经在实际环境中被利用这不是那种可以等到下周再处理的常规补丁而是现在、立刻、马上必须缓解的紧急状况。SANS研究所研究主任Johannes Ullrich则从架构层面给出了更深刻的判断在OWA这类Web邮件系统中彻底杜绝XSS几乎是不可能的。系统必须把用户发送的HTML邮件嵌入到自身的HTML框架里两者的边界一旦模糊攻击面就自然产生。虽然沙盒化的iFrame能缓解风险但实施起来远比想象中复杂。Ullrich还提到这类XSS漏洞在实战中通常被用来读取受害者邮箱内容极端情况下甚至能冒用身份发送邮件。不过他也带来了一丝宽慰好在不少企业已经提前弃用了本地Exchange和OWA算是躲过了一劫。DeepCove Cybersecurity首席技术官Kellman Meghu的评论更加直白这个漏洞确实很糟但说实话在2024年还在跑本地Exchange本身就不是什么明智选择。临时缓解方案与已知副作用由于正式补丁尚在开发中微软目前只能提供紧急缓解措施。如果服务器上启用了Exchange紧急缓解服务EM Service——该服务自2021年9月起默认开启——那么自动缓解规则应该已经下发到位。管理员需要立即确认EM服务处于运行状态。需要注意的是若服务器仍停留在2023年3月之前的旧版本EM服务将无法获取最新的缓解规则。对于物理隔离环境或无法连接EM服务的服务器微软提供了Exchange本地缓解工具EOMT需通过提升权限的Exchange管理外壳逐台或批量执行脚本。然而这套临时方案并非完美无缺。启用缓解措施后OWA的日历打印功能会失效内嵌图片在阅读窗格中可能显示异常早已弃用的OWA轻量版URL以/?layoutlight结尾也会彻底无法访问。部分管理员还反馈缓解状态页面会误报此缓解措施不适用于此Exchange版本但只要状态显示已应用实际防护就是生效的——微软正在排查这一显示故障。云迁移从可选项变为必选项Rob Enderle认为微软这次打破常规、不惜牺牲部分OWA功能也要强推缓解措施的做法清楚暴露了他们急于止损的焦虑。他建议首席安全官们把这次事件当作安全自动化能力的试金石如果团队已经启用了EM服务请立即验证M2缓解措施是否在所有资产上生效如果是隔离环境或手动管理那么在运行EOMT脚本之前企业基本处于裸奔状态。更深层的信号在于微软正在借这次零日事件加速推动企业告别本地Exchange。Enderle分析道如果你至今没有制定退出本地Exchange的计划随着零日漏洞成为新常态你的风险曲线只会越来越陡峭。无论IT部门主观意愿如何Azure乃至整个Web服务产业都在推动这场迁移。Johannes Ullrich也表达了相似观点寻找值得信赖的云邮件服务商已经不再是锦上添花而是生存必需。本地Exchange正在退出历史舞台那些因特殊原因仍需保留的组织也应当尽可能缩小其对外暴露面。补丁时间表与ESU计划限制微软在官方通报中仅表示受影响版本的补丁将在未来某个时间点发布涵盖Exchange SE RTM、Exchange 2016 CU23以及Exchange 2019 CU14和CU15。运行更旧累积更新版本的用户被强烈建议立即升级。补丁分发策略也存在明显差异Exchange SE将以公开安全更新的形式推送而Exchange 2016和2019的补丁仅面向已加入第二阶段Exchange Server扩展安全更新ESU计划的客户提供。只参与了第一阶段ESU计划的用户将无法获得此次更新——该计划已于上月正式结束。企业应对建议面对这一高危零日威胁企业安全团队应当立即开展以下工作确认所有本地Exchange服务器已启用EM服务并接收最新缓解规则。对于无法自动更新的老旧版本优先安排升级或切换至Exchange Online。在正式补丁发布前教育用户警惕来源不明的邮件避免在OWA中随意点击可疑内容。同时安全团队应检查邮件网关日志寻找异常的JavaScript执行痕迹。这场由朝鲜黑客发起的Toast攻击再次证明企业邮件系统作为数字资产的核心枢纽其安全防护不能有丝毫懈怠。本地部署模式的黄昏或许真的已经来临。
)
