Exchange Server再曝高危漏洞：CVE-2026-45504 SSRF攻击可致本地任意文件读取与权限提升

微软六月安全更新中修复的CVE-2026-45504正引发安全社区高度关注。这个藏身于Exchange Server WOPI与WAC集成链路中的服务器端请求伪造漏洞，已被证实可转化为本地任意文件读取能力，让低权限认证用户直接触及服务器核心配置文件，进而完成权限提升。HawkTrace团队近期公开了完整概念验证代码，使得该漏洞的实战利用门槛被大幅拉低。

WOPI令牌获取链中的协议校验缺失

问题的根源出在Exchange生成WAC文档预览URL时的处理逻辑。当用户通过Outlook网页版或各类Exchange客户端打开附件预览，后台会触发一套完整的WOPI令牌获取流程。Exchange调用GetTokenRequestWebResponse与GetWacUrl等内部辅助函数，经由OneDriveProUtilities.TryTwice向外部WOPI提供方发起HTTP请求，随后解析返回的OData XML响应，提取其中的WebApplicationUrl、AccessToken和AccessTokenTtl字段。

整个流程的设计初衷是为了让Exchange能无缝衔接SharePoint Online与Office Online Server的文档协作能力，但开发环节遗漏了对WebApplicationUrl字段的协议校验。攻击者控制的恶意WOPI端点可以返回非HTTP协议的URL，Exchange在未经任何过滤的情况下直接将其嵌入最终的WAC预览地址。

从SSRF到任意文件读取的巧妙跳转

这个看似普通的SSRF漏洞之所以危险，在于攻击者利用了URI片段字符#的解析特性完成了一次精妙的协议降级。假设恶意端点返回的WebApplicationUrl为file:///C:/windows/win.ini#，Exchange随后会追加OAuth查询参数，拼接成file:///C:/windows/win.ini#&access_token=…&access_token_ttl=…&sc=…这样的完整字符串。

URI解析器在处理该地址时，会将#之后的全部内容识别为片段标识符并直接忽略。于是实际生效的路径依然是file:///C:/windows/win.ini，Exchange通过FileWebRequest发起本地文件请求，将文件内容读取后经由服务响应返回给攻击者。这种利用方式绕过了常规的网络边界防护，因为请求并未真正离开服务器，而是直接在Exchange主机内部完成文件访问。

低门槛的攻击路径与真实影响

要触发这一漏洞，攻击者仅需拥有一个具备邮箱权限的低权限Exchange账户，并能够与目标服务器建立网络连接即可。整个利用过程通常依托Exchange Web Services展开：攻击者通过exchange.asmx创建一个ReferenceAttachment，将其ProviderEndpointUrl指向自己控制的恶意WOPI服务器。当受害用户在客户端中打开或预览该附件时，Exchange自动发起GetWopiTargetPropertiesByUrl请求，攻击者的端点随即注入构造好的file://地址，本地文件读取流程被静默激活。

HawkTrace公开的PoC已完整演示了对Exchange Server 2019的任意文件读取攻击，成功提取了C:\Windows\win.ini等系统文件。这意味着攻击者可以进一步窃取Exchange配置文件、凭据材料及其他敏感密钥，为后续横向移动和域内权限提升铺平道路。微软将该漏洞归类为权限提升类型，CVSS v3.1评分达到8.8分，攻击向量网络、复杂度低、仅需低权限且无需用户交互，对机密性、完整性和可用性均构成严重影响。

受影响版本与补丁信息

此次漏洞波及本地部署的Exchange Server 2016和2019，以及订阅版实例。具体而言，Exchange Server 2016累积更新23、Exchange Server 2019累积更新14和15、Exchange Server订阅版RTM均处于受影响范围。微软在2026年6月9日的补丁日中发布了对应安全更新，各版本分别通过KB5094144、KB5094142、KB5094140和KB5094139进行修复。

值得注意的是，微软在最初的可利用性评估中认为该漏洞被利用的可能性较低，但随着功能性PoC代码的公开，未修补环境面临的现实威胁已显著上升。管理员应当尽快核对服务器版本号，确认是否与微软文档中标注的已修复版本一致，并完成补丁部署。

临时缓解与检测策略

在补丁全面覆盖之前，组织可以通过多重手段降低暴露面。首先，强化对Exchange及EWS端点的访问控制，限制仅允许可信来源连接。其次，在网络层面对Exchange服务器的出站流量进行严格管控，阻断其向不可信外部主机发起连接的能力。同时，针对指向未知外部域的EWS引用附件保持监控，及时发现异常行为。

从检测视角来看，安全运营团队可将异常的WOPI/WAC令牌请求、指向攻击者基础设施的出站连接，以及Exchange主机上意外的本地文件访问事件进行关联分析。IIS日志与HttpProxy日志中若出现包含非标准协议方案或内部敏感路径的URL参数，也应作为重点排查对象。将这类指标与MITRE ATT&CK框架中的T1190和T1068技术进行映射，有助于提升对CVE-2026-45504野外利用尝试的识别效率。

对于已经怀疑遭受攻击的环境，建议立即审查特权角色分配、邮箱权限变更及传输规则异动，并考虑对相关凭据进行轮换，防止攻击者利用已窃取的配置文件信息展开后续渗透。