答案已發布3 週前Last edited 上週21 來源

Microsoft Exchange 一星期內連中兩擊：研究級漏洞鏈同真實零日攻擊同時出現

2026年5月 Microsoft Exchange 在短短幾日內同時出現兩宗安全事件：Pwn2Own Berlin 展示 SYSTEM 級遠端攻擊鏈，而另一個零日漏洞 CVE‑2026‑42897 已在真實攻擊中被利用。 DEVCORE 研究員 Orange Tsai 在 Pwn2Own 透過串連三個未知漏洞取得 Exchange SYSTEM 權限遠端執行程式，獲得 20 萬美元獎金。

使用 Studio Global AI 搜尋並查核事實瀏覽更多熱門頁面

1.9M0

Illustration of Microsoft Exchange servers under cyberattack representing zero‑day vulnerabilities and exploit chains — How did Microsoft Exchange get hit by both a major Pwn2Own Berlin 2026 exploit and a separate actively exploited zero-day in the same week,Microsoft Exchange faced both a research exploit chain and an actively exploited zero‑day within the same week in May 2026.
AI 提示
Create a landscape editorial hero image for this Studio Global article: How did Microsoft Exchange get hit by both a major Pwn2Own Berlin 2026 exploit and a separate actively exploited zero-day in the same week,. Article summary: Microsoft Exchange was hit by two different events in the same week: a contest-disclosed Pwn2Own Berlin 2026 exploit chain against Exchange, and a separate real-world zero-day, CVE-2026-42897, that Microsoft said was alr. Topic tags: general, government, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "* Microsoft Exchange, Windows 11 hacked on second day of Pwn2Own. During the second day of Pwn2Own Berlin 2026, competitors collected $385,750 in cash awards after exploiting 15 u" source context "Microsoft Exchange, Windows 11 hacked on second day of Pwn2Own" Reference image 2: visual subject "# Micr
openai.com

2026 年 5 月對 Microsoft Exchange 管理員嚟講可謂「安全黑色星期」。短短大約 48 小時內，平台先後遇到兩件完全不同但同樣嚴重嘅事件：

一個喺 Pwn2Own Berlin 2026 黑客比賽中公開示範嘅漏洞鏈
另一個 已經被攻擊者實際利用嘅零日漏洞 CVE‑2026‑42897

兩者雖然互不相關，但共同反映一個事實：仍然自行部署（on‑premises）嘅 Exchange Server 一直係高價值攻擊目標。

Pwn2Own Berlin 2026：Exchange 被成功攻破

喺德國柏林舉行嘅 Pwn2Own Berlin 2026 黑客競賽中，研究員成功入侵多種企業級產品，其中一個焦點就係 Microsoft Exchange。

安全研究員 DEVCORE 團隊嘅 Orange Tsai 透過 串連三個未公開漏洞，成功取得 Exchange Server SYSTEM 權限嘅遠端程式執行（RCE），並因此贏得 200,000 美元獎金。

呢次攻擊鏈有幾個重點：

攻擊需要 多個漏洞串連，而唔係單一漏洞
最終可取得 SYSTEM 等級權限，即完全控制整部 Exchange Server
漏洞細節 未即時公開，一般會等廠商完成修補先披露

根據 Pwn2Own 規則，所有被測試產品都必須運行 最新版本與最新更新。

因此，呢個示範代表嘅係：即使係已更新系統，仍然可能存在尚未公開嘅漏洞組合。

不過當時並 冇證據顯示該漏洞鏈已在真實世界被利用。

真實攻擊：Exchange 零日漏洞 CVE‑2026‑42897

差唔多同一時間，Microsoft 發出安全警告：另一個 Exchange 漏洞 已經被黑客利用。

漏洞編號 CVE‑2026‑42897，屬於 輸入處理不當導致嘅跨站腳本（XSS）漏洞。

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

使用 Studio Global AI 搜尋並查核事實

人們還問