CVE-2026-42897 漏洞正在被积极利用于本地 Microsoft Exchange 服务器。此缺陷允许攻击者仅通过发送一封恶意电子邮件即可入侵系统。最严重的是,攻击无需身份验证,这使得任何暴露的服务器都成为未经授权访问和潜在数据窃取的轻松目标。
无凭证攻击背后的技术机制 🛡️
该漏洞存在于 Exchange 的传入消息处理组件中。在处理一封带有被操纵的标头字段的邮件时,服务在将其传递给命令执行引擎之前未能正确验证输入。这允许在系统上下文中注入任意代码。由于攻击向量只是一封简单的电子邮件,任何开放 SMTP 端口的服务器都容易受到攻击,无需用户交互或事先拥有权限。
邮件来了,服务器没了 😅
事实证明,收件箱现在不仅带来尼日利亚遗产的垃圾邮件,还附带了一个 RCE 作为赠品。攻击者发现,真正的网络钓鱼不是窃取你的密码,而是通过一句简单的你好,我是老板来窃取你的整个服务器。而在微软准备补丁的同时,我们唯一能做的就是希望攻击者品味不错,不会删除办公室的照片。