就在微軟完成每月例行安全更新後不久，一項突如其來的重大漏洞公告，再次讓企業郵件系統安全成為焦點。

5 月 14 日，Microsoft 突然揭露 CVE-2026-42897 漏洞，CVSS 評分高達 8.1 分，且更值得關注的是——漏洞已被實際利用（Exploited）。根據微軟安全應變中心（MSRC）說明，該公司已觀察到攻擊活動，隔日，美國 Cybersecurity and Infrastructure Security Agency 也迅速將此漏洞納入已知遭利用漏洞清單（KEV），要求聯邦機構須在 5 月 29 日前完成緩解措施。

此次受影響的範圍，主要集中在企業內部部署（on-premises）的 Exchange Server，包括：

• Exchange Server 2016
• Exchange Server 2019
• Exchange Server Subscription Edition（SE）

不過，使用雲端版本 Exchange Online 的企業，則不受此次漏洞影響。

從技術層面來看，這並不是傳統的遠端程式執行漏洞，而是發生於 Outlook Web Access（OWA） 的跨網站指令碼（XSS）弱點。簡單來說，攻擊者可透過寄送特製電子郵件，引導受害者在 OWA 中開啟信件。一旦符合特定互動條件，惡意 JavaScript 程式碼便可能在使用者當前登入工作階段中執行。

真正麻煩的地方在於——攻擊可能建立在合法登入狀態之上。

也就是說，攻擊者未必需要突破帳號密碼，而是利用使用者本身已登入的瀏覽器工作階段，直接執行惡意操作。這類攻擊在企業郵件環境中特別危險，因為郵件系統往往與內部權限、附件、帳號驗證高度整合。

目前最大的問題是：微軟尚未正式發布修補程式。

根據說明，微軟仍在開發與測試長期修補方案，預計後續將針對：

• Exchange Server 2019 CU14 / CU15
• Exchange Server 2016 CU23
• Exchange Server SE RTM

提供更新。不過值得注意的是，部分版本更新將僅提供給參與 Exchange Server ESU（延伸安全更新）計畫 的用戶，而 Exchange SE 則會公開發布。

在修補程式尚未上線前，微軟也提供兩種暫時緩解方式。

第一種是透過 Exchange Emergency Mitigation（EM）服務，自動套用 IIS URL Rewrite 規則，並停用存在風險的 Exchange 服務與相關 App Pool。第二種則是使用 Exchange on-premises Mitigation Tool（EOMT） 指令碼工具，適合無法使用 EM 的環境，例如離線或隔離型架構，由 IT 管理員透過 Exchange Management Shell（EMS）執行緩解作業。

從整體事件來看，這次漏洞其實再次提醒企業一件事：內部部署郵件系統仍然是高價值攻擊目標。

尤其當攻擊者不再需要入侵伺服器本身，而是透過郵件、瀏覽器工作階段與合法使用者行為作為突破口時，企業對 OWA、郵件安全與工作階段風險的控管，將比過去更加重要。

面對企業郵件系統與身分驗證風險持續升高，德知士資訊也持續關注 Exchange Server、Microsoft 生態系與企業端點安全議題，協助企業掌握最新漏洞資訊與防護策略，降低資安事件造成的營運風險，強化整體資安韌性。

參考連結 : https://www.ithome.com.tw/news/175877