微软六月安全更新中修复的CVE-2026-45504正引发安全社区高度关注。这个藏身于Exchange Server WOPI与WAC集成链路中的服务器端请求伪造漏洞,已被证实可转化为本地任意文件读取能力,让低权限认证用户直接触及服务器核心配置文件,进而完成权限提升。HawkTrace团队近期公开了完整概念验证代码,使得该漏洞的实战利用门槛被大幅拉低。
WOPI令牌获取链中的协议校验缺失
问题的根源出在Exchange生成WAC文档预览URL时的处理逻辑。当用户通过Outlook网页版或各类Exchange客户端打开附件预览,后台会触发一套完整的WOPI令牌获取流程。Exchange调用GetTokenRequestWebResponse与GetWacUrl等内部辅助函数,经由OneDriveProUtilities.TryTwice向外部WOPI提供方发起HTTP请求,随后解析返回的OData XML响应,提取其中的WebApplicationUrl、AccessToken和AccessTokenTtl字段。
整个流程的设计初衷是为了让Exchange能无缝衔接SharePoint Online与Office Online Server的文档协作能力,但开发环节遗漏了对WebApplicationUrl字段的协议校验。攻击者控制的恶意WOPI端点可以返回非HTTP协议的URL,Exchange在未经任何过滤的情况下直接将其嵌入最终的WAC预览地址。
从SSRF到任意文件读取的巧妙跳转
这个看似普通的SSRF漏洞之所以危险,在于攻击者利用了URI片段字符#的解析特性完成了一次精妙的协议降级。假设恶意端点返回的WebApplicationUrl为file:///C:/windows/win.ini#,Exchange随后会追加OAuth查询参数,拼接成file:///C:/windows/win.ini#&access_token=…&access_token_ttl=…&sc=…这样的完整字符串。
URI解析器在处理该地址时,会将#之后的全部内容识别为片段标识符并直接忽略。于是实际生效的路径依然是file:///C:/windows/win.ini,Exchange通过FileWebRequest发起本地文件请求,将文件内容读取后经由服务响应返回给攻击者。这种利用方式绕过了常规的网络边界防护,因为请求并未真正离开服务器,而是直接在Exchange主机内部完成文件访问。
低门槛的攻击路径与真实影响
要触发这一漏洞,攻击者仅需拥有一个具备邮箱权限的低权限Exchange账户,并能够与目标服务器建立网络连接即可。整个利用过程通常依托Exchange Web Services展开:攻击者通过exchange.asmx创建一个ReferenceAttachment,将其ProviderEndpointUrl指向自己控制的恶意WOPI服务器。当受害用户在客户端中打开或预览该附件时,Exchange自动发起GetWopiTargetPropertiesByUrl请求,攻击者的端点随即注入构造好的file://地址,本地文件读取流程被静默激活。
HawkTrace公开的PoC已完整演示了对Exchange Server 2019的任意文件读取攻击,成功提取了C:\Windows\win.ini等系统文件。这意味着攻击者可以进一步窃取Exchange配置文件、凭据材料及其他敏感密钥,为后续横向移动和域内权限提升铺平道路。微软将该漏洞归类为权限提升类型,CVSS v3.1评分达到8.8分,攻击向量网络、复杂度低、仅需低权限且无需用户交互,对机密性、完整性和可用性均构成严重影响。
受影响版本与补丁信息
此次漏洞波及本地部署的Exchange Server 2016和2019,以及订阅版实例。具体而言,Exchange Server 2016累积更新23、Exchange Server 2019累积更新14和15、Exchange Server订阅版RTM均处于受影响范围。微软在2026年6月9日的补丁日中发布了对应安全更新,各版本分别通过KB5094144、KB5094142、KB5094140和KB5094139进行修复。
值得注意的是,微软在最初的可利用性评估中认为该漏洞被利用的可能性较低,但随着功能性PoC代码的公开,未修补环境面临的现实威胁已显著上升。管理员应当尽快核对服务器版本号,确认是否与微软文档中标注的已修复版本一致,并完成补丁部署。
临时缓解与检测策略
在补丁全面覆盖之前,组织可以通过多重手段降低暴露面。首先,强化对Exchange及EWS端点的访问控制,限制仅允许可信来源连接。其次,在网络层面对Exchange服务器的出站流量进行严格管控,阻断其向不可信外部主机发起连接的能力。同时,针对指向未知外部域的EWS引用附件保持监控,及时发现异常行为。
从检测视角来看,安全运营团队可将异常的WOPI/WAC令牌请求、指向攻击者基础设施的出站连接,以及Exchange主机上意外的本地文件访问事件进行关联分析。IIS日志与HttpProxy日志中若出现包含非标准协议方案或内部敏感路径的URL参数,也应作为重点排查对象。将这类指标与MITRE ATT&CK框架中的T1190和T1068技术进行映射,有助于提升对CVE-2026-45504野外利用尝试的识别效率。
对于已经怀疑遭受攻击的环境,建议立即审查特权角色分配、邮箱权限变更及传输规则异动,并考虑对相关凭据进行轮换,防止攻击者利用已窃取的配置文件信息展开后续渗透。
:哪些功能被悄悄阉割?哪些场景已违规?)
