1 漏洞事件完整复盘SharePoint高危漏洞窗口期刚结束Exchange云提权漏洞同步爆发2026年7月4日CISA发布的BOD 26-04强制整改指令针对CVE-2026-45659本地SharePoint漏洞正式到期。国内大量政企、事业单位刚完成内网SharePoint服务器补丁推送、漏洞扫描、残留后门清理工作Tenable安全实验室直接对外披露全新高危云权限漏洞CVE-2026-54998。漏洞目标资产锁定微软Exchange Online纯云邮箱服务CVSS评分8.5漏洞根因定位Entra ID与Exchange后端接口授权校验逻辑缺失。Tenable研究人员公开完整利用链普通企业员工账号无需管理员权限篡改OAuth令牌资源范围声明后直接调用仅全局管理员、Exchange管理员开放的批量邮箱检索接口。市场现有安全设备普遍存在识别盲区。传统邮件网关仅拦截外部钓鱼邮件、恶意附件不会监控OWA客户端、Exchange Online PowerShell接口的令牌篡改行为内网EDR只能管控本地终端无法感知云端API异常调用流量绝大多数中小企业M365租户仅开启基础邮箱功能未配置条件访问、OAuth应用白名单漏洞攻击面完全暴露在公网。本次连续爆出两套M365套件高危漏洞不是偶然。微软统一身份体系Entra ID承载SharePoint、Exchange、Teams、OneDrive全套协作组件身份信任单一组件权限校验缺陷会顺着身份池横向扩散全部云资产。攻击者可以先用本地SharePoint漏洞窃取内网员工账号再利用Exchange Online提权漏洞接管全租户邮件数据形成从内网服务器到云端邮箱、企业网盘的完整渗透链路。国内政企混合部署架构风险最高。大量单位保留本地Exchange 2016、2019服务器同步开启Exchange Online混合同步功能本地服务主体凭证与云端邮箱服务共享信任关系。内网一旦出现凭证泄露攻击者不需要突破公网防火墙直接用本地凭证伪造云端高权限令牌绕过所有面向互联网的防护策略。微软仅在后台完成云端接口逻辑修复不会主动修改租户现有权限、访问控制策略。所有租户即便云端服务不存在漏洞原有宽松的身份、邮件权限配置依旧会给攻击者提供完整利用空间单纯等待厂商后台修复无法阻断同类攻击。2 CVE-2026-54998底层技术缺陷拆解OAuth令牌校验逻辑断层完整复现逻辑2.1 核心缺陷位置Exchange Online接收Entra ID下发的Bearer令牌时后端校验模块只验证令牌签名合法性不校验令牌内部scope声明与当前用户实际拥有的RBAC权限是否匹配。Entra ID发放令牌时会根据账号权限写入固定访问范围字段普通员工默认仅拥有Mail.Read、Mail.Send基础权限无法调用MailboxSearch、Get-MailboxStatistics全租户批量查询接口。Exchange后端校验流程缺失scope字段二次校验步骤客户端拦截令牌修改scope字段后提交API请求服务端直接放行。混合部署场景额外叠加一层信任漏洞。本地Exchange混合同步生成的服务主体具备跨环境访问权限该主体凭证存储在本地AD服务器内网攻击者获取凭证后可直接向Exchange Online服务发起身份请求Entra ID默认信任混合服务主体不会执行额外设备、IP校验。2.2 完整利用步骤每一步标注攻击行为主体攻击者通过钓鱼邮件诱导员工输入账号密码或利用CVE-2026-45659漏洞攻陷内网SharePoint服务器抓取AD缓存凭证拿到普通员工Entra账号完整登录凭证。本地启动代理工具拦截OWA网页端、Outlook桌面客户端与Entra ID之间的令牌交互流量截取有效Bearer令牌。修改令牌载荷内scope字段追加ExchangeAdmin、Mail.ReadWrite.All、Directory.ReadWrite.All管理员级访问权限字段重新生成合法签名格式令牌。将篡改后的令牌带入Exchange Online Rest API请求调用批量邮箱检索接口遍历租户内全部员工邮箱收件箱、归档、草稿内容。调用收件箱规则创建接口批量向数百员工邮箱新增自动转发规则所有入站邮件同步转发至攻击者控制的外部邮箱域名。在Entra ID企业应用模块注册第三方恶意应用申请长期刷新令牌有效期90天员工修改登录密码不会失效完成持久化后门搭建。切换SharePoint Online接口用同一篡改令牌读取企业网盘、协作站点机密文档完成全租户数据窃取。2.3 漏洞可复现前置条件租户未强制全员多因素认证允许用户自主注册第三方OAuth应用未限制Exchange Online PowerShell外部IP访问混合部署未隔离本地服务主体云端访问权限Defender for Office 365仅使用基础版无API异常访问监控规则。3 攻击链路Mermaid流程图低权限账号到全局管理员完整入侵路径路径1钓鱼邮件窃取凭证路径2内网漏洞拿号 CVE-2026-45659攻击者获取低权限员工账号终端捕获账号密码SharePoint服务器读取AD缓存凭证拦截OWA客户端OAuth Bearer令牌篡改令牌scope追加管理员权限字段提交篡改令牌访问Exchange Online API后端跳过scope校验放行高权限接口调用批量读取全租户邮箱数据创建隐藏自动转发后门规则注册恶意OAuth应用获取长效刷新令牌横向渗透SharePoint/OneDrive企业文档数据打包外发完成持久潜伏技术架构Mermaid图Entra与Exchange Online权限校验断层架构下发标准scope普通令牌修改scope字段保留合法签名校验签名是否合法校验scope与账号RBAC权限匹配普通员工客户端Entra ID身份服务攻击者流量代理Exchange Online后端API令牌校验模块通过缺失校验逻辑Exchange RBAC权限控制器放行管理员接口调用本地混合Exchange服务主体混合信任白名单无IP限制4 CVE-2026-54998与CVE-2026-45659链式组合攻击原理与真实入侵场景两套漏洞分别覆盖内网入口、云端提权两个核心攻击阶段单独利用危害有限组合使用可实现无间断全租户渗透。CVE-2026-45659仅作用本地部署SharePoint服务器属于低权限RCE漏洞攻击者拿到站点成员账号即可执行服务器系统命令。攻击目标仅限内网服务器无法直接访问云端M365资产攻击边界锁定局域网内部。漏洞核心价值是窃取内网AD域账号、本地混合Exchange服务主体凭证。CVE-2026-54998仅针对Exchange Online云服务攻击入口为公网OWA、Outlook客户端、Exchange PowerShell接口必须持有有效Entra账号才能触发漏洞无法在内网独立利用。漏洞核心价值是横向提升权限突破邮件系统权限边界联动全套M365云资产。组合攻击真实场景政企混合租户高频入侵案例某事业单位内网部署SharePoint 2019服务器运维人员未按时安装CVE-2026-45659补丁。攻击者通过互联网弱口令爆破SharePoint站点成员账号上传恶意脚本触发远程代码执行在服务器本地读取AD域缓存导出数十名行政、财务员工登录凭证。内网存在Exchange混合同步服务脚本同步抓取本地混合服务主体密钥。攻击者拿到凭证后切换公网代理访问OWA网页登录界面使用财务员工账号完成登录流量拦截工具捕获Entra下发访问令牌。修改令牌权限范围后调用Exchange批量检索接口读取全部财务部门往来邮件、报销单据附件。批量创建外部转发规则所有新邮件实时同步至境外邮箱。依靠混合服务主体密钥绕过IP限制无需员工账号也能持续访问租户邮箱。运维人员仅检查本地SharePoint服务器漏洞未同步排查云端Exchange邮箱转发规则入侵行为潜伏42天才被Defender异常告警触发大量项目招投标、财务机密文件外泄。两套漏洞共有底层设计缺陷微软跨组件信任机制过度简化不同服务之间缺少独立权限隔离校验一套身份凭证通行全部业务组件单一节点失守扩散全部资产。5 自建Exchange Server与Exchange Online风险面真实对比无冗余修饰评估维度本地自建Exchange 2016/2019Exchange Online受CVE-2026-54998影响攻击入口暴露范围仅限内网端口公网访问需额外发布反向代理OWA、Outlook、云端PowerShell全公网开放攻击入口多权限隔离能力本地RBAC独立与Entra身份无强制绑定统一Entra身份池提权直接覆盖全局管理员权限厂商修复模式手动下载累积更新CU包服务器批量重启部署微软后台静默修复接口逻辑租户策略不自动变更横向渗透边界仅本地邮件服务器数据无法自动访问SharePoint云盘一键横向调取Teams、SharePoint、OneDrive全套租户数据凭证泄露影响范围本地AD账号仅作用内网邮件系统泄露账号可触发云端提权接管全租户云资产日志审计部署难度日志分散存储于多台服务器集中取证需要额外搭建日志平台Defender统一云端日志7-30天日志自动留存检索无需额外部署工具OAuth应用管控无云端OAuth授权机制不存在令牌篡改攻击面原生OAuth授权体系漏洞核心攻击载体就是篡改访问令牌自建Exchange不存在本次云端提权漏洞但风险集中在内网横向渗透、服务器本地提权、补丁运维滞后Exchange Online无服务器运维成本但身份体系复杂度更高公网攻击面更广授权类漏洞一旦爆发影响范围覆盖整个企业租户。混合部署架构同时持有两类资产全部风险点是风险等级最高的部署模式。6 租户风险分级自查标准配套全套可直接运行PowerShell检测脚本6.1 三级风险划分标准高危租户72小时内完成全量加固后门清理本地Exchange与Exchange Online混合同步架构未强制所有用户启用多因素认证MFA允许普通员工自主注册、授权第三方OAuth应用Defender仅采购基础版无异常API访问监控从未审计邮箱自动转发、完全访问权限列表中危租户一周内完成策略优化每日巡检告警纯云Exchange Online无本地混合服务器仅管理员账号开启MFA普通员工无强制认证OAuth应用无审批流程用户可自主授权第三方工具未配置条件访问IP白名单境外IP可直接登录邮箱低危租户维持现有巡检频率按月复盘安全策略纯云架构全员强制MFA全覆盖OAuth应用管理员审批白名单机制开启条件访问策略限制境外IP、陌生设备登录Defender Plan2完整启用邮件异常行为实时告警6.2 完整检测PowerShell脚本复制直接执行# CVE-2026-54998 租户风险一键检测脚本 适用Exchange Online PowerShell Entra ID PowerShell模块 输出文件自动保存至C盘根目录包含异常转发、越权邮箱权限、混合部署配置 ## 模块连接Connect-ExchangeOnlineConnect-MgGraph-ScopesApplication.Read.All,Mail.ReadWrite.All,User.Read.All# 1 导出所有异常收件箱转发/重定向规则漏洞核心后门$mailRuleData ()$allMailboxGet-Mailbox-ResultSize Unlimitedforeach($boxin$allMailbox){$rules$box|Get-InboxRuleforeach($rulein$rules){if($rule.ForwardTo-or$rule.RedirectTo){$obj[PSCustomObject]{MailboxName $box.DisplayName MailboxUPN $box.UserPrincipalName RuleName $rule.Name ForwardTarget $rule.ForwardTo RedirectTarget $rule.RedirectTo RuleStatus $rule.Enabled CreateDate $rule.WhenCreated}$mailRuleData$obj}}}$mailRuleData|Export-Csv-PathC:\Exchange_Abnormal_ForwardRules.csv-NoTypeInformation-Encoding UTF8# 2 导出邮箱完全访问陌生授权越权访问通道Get-MailboxPermission-ResultSize Unlimited|Where-Object{$_.AccessRights-matchFullAccess-and$_.User-notmatchSELF|NT AUTHORITY}|SelectIdentity,User,AccessRights|Export-CsvC:\Mailbox_FullAccess_Abnormal.csv-NoTypeInformation-Encoding UTF8# 3 检测混合Exchange部署配置高危标识Get-HybridConfiguration|Export-CsvC:\Hybrid_Exchange_Config.csv-NoTypeInformation-Encoding UTF8# 4 导出所有第三方OAuth企业应用恶意应用排查Get-MgApplication|Where-Object{$_.RequiredResourceAccess.ResourceAppId-match00000002-0000-0ff1-ce00-000000000000}|SelectDisplayName,Id|Export-CsvC:\OAuth_Exchange_Apps.csv-NoTypeInformation-Encoding UTF8Write-Host检测完成全部报表文件存放路径C:\请逐条核查异常数据6.3 脚本执行后人工核查要点转发规则报表内出现外部公网邮箱、境外域名地址直接判定后门立即删除对应规则并重置账号密码FullAccess权限报表出现非运维、非人事账号批量回收全部陌生授权混合配置报表存在本地服务主体无IP限制配置立即修改混合同步参数增加访问白名单OAuth应用报表内无备案第三方工具直接在Entra后台撤销应用权限并删除注册记录7 M365三层防护落地实操Entra条件访问、Defender邮件网关、RBAC权限收紧三层防护不存在优先级区分全部同步部署才能封堵漏洞全部利用路径单一防护层无法独立抵御完整攻击链。7.1 第一层 Entra ID条件访问配置阻断令牌篡改前置登录入口策略1全员强制多因素认证分配对象选择所有用户、所有云应用包含Exchange Online、EAC管理后台、Entra门户、PowerShell云端模块。仅企业固定办公内网IP段豁免MFA验证境外IP、陌生终端设备、从未登录地区IP直接拦截登录请求不提供密码登录通道。策略2关闭用户自主OAuth应用注册进入Entra ID 用户设置页面将用户可注册应用开关调整为禁用状态。开启企业应用审批流程所有需要读取邮箱权限的第三方工具必须由安全管理员审核后加入白名单用户无法自主授权外部应用访问邮件数据。修改令牌生命周期刷新令牌最长有效期7天客户端闲置30分钟强制注销令牌缩短攻击者长效后门存活周期。策略3限制Exchange管理接口访问IP范围单独创建策略管控Exchange Online PowerShell、EAC管理门户仅企业运维办公固定IP段允许访问其余全部公网IP直接拦截攻击者即便拿到普通员工账号无法调用批量检索管理员接口。7.2 第二层 Defender for Office 365邮件网关规则拦截漏洞API利用流量规则1监控批量邮箱检索API异常行为设置阈值单个账号一小时内调用MailboxSearch接口查询超过50个不同邮箱自动触发高危告警同步临时锁定账号阻断后续API调用行为。运维收到告警后第一时间核查账号登录日志、转发规则。规则2拦截批量新增外部转发规则系统检测短时间批量创建多条指向外部域名的收件箱转发规则直接拦截规则创建请求推送告警至安全运维邮箱新增转发规则统一增加管理员人工审批节点。规则3过滤诱导OAuth授权钓鱼邮件创建邮件过滤规则拦截正文包含伪造Office365登录页面、第三方应用授权诱导链接的邮件匹配内容直接移入恶意隔离区禁止投递至员工收件箱。规则4OWA客户端异地登录行为检测同一账号24小时内出现两个以上不同国家IP登录、短时间大量令牌刷新请求、批量附件导出操作标记为高危异常行为生成专项审计报表推送运维。7.3 第三层 Exchange Online RBAC权限收紧缩小漏洞提权权限范围删除默认分配给全体员工的批量邮箱查询隐藏权限拆分Exchange管理员角色区分邮件运维、全局管理权限仅保留最小工作所需权限禁止普通用户调用Exchange Online PowerShell模块仅运维专用账号开放模块访问权限。8 混合部署租户专属加固步骤拆分本地与云端服务主体信任通道混合架构是本次漏洞最高风险场景本地服务主体无IP、设备校验攻击者抓取本地凭证后可无限制访问云端邮箱必须拆分双向信任通道。修改本地Exchange混合同步配置新增云端访问IP白名单仅企业固定出口IP允许本地服务主体调用Exchange Online接口。定期轮换混合部署服务主体密钥设置每月自动轮换任务密钥泄露后缩短有效利用周期。本地AD域管控服务器权限限制普通域用户读取服务主体密钥缓存禁止非运维账号登录SharePoint、Exchange本地服务器。分离本地与云端管理员账号本地服务器运维账号不授予Entra全局管理员权限云端邮箱管理员无本地服务器登录权限实现权限隔离。本地服务器开启日志集中采集同步推送内网RCE、凭证读取行为日志至统一审计平台提前发现内网凭证窃取行为。9 漏洞爆发后标准化应急处置流程含取证、后门清理、账号封禁操作发现Defender告警、脚本检测出异常转发规则、境外批量邮箱检索行为按固定顺序执行处置避免操作顺序失误导致攻击者销毁证据、维持后门访问。账号阻断锁定涉事账号全部登录渠道撤销该账号名下所有OAuth应用授权回收邮箱全部FullAccess访问权限阻断攻击者当前访问通道。后门清理运行前文检测脚本批量删除全租户所有外部转发、重定向收件箱规则删除恶意第三方OAuth企业应用清理异常邮箱完全访问授权。账号权限重置涉事账号、同部门全部员工强制重置登录密码重新绑定多因素认证管理员账号全部轮换密钥、MFA设备。全量日志取证导出近30天Entra登录日志、Exchange API调用日志、Defender邮件行为日志、OWA客户端访问日志完整留存原始日志文件禁止修改日志内容用于溯源攻击路径、留存合规取证材料。横向全租户排查重新执行全套风险检测脚本遍历所有员工邮箱、OAuth应用、权限配置确认无隐藏后门规则、越权授权账号。补全缺失安全策略同步落地三层防护配置补齐条件访问、邮件网关监控、RBAC权限管控策略消除同类漏洞再次利用攻击面。复盘输出整改报告记录入侵触发点、攻击者行为路径、现有策略缺失项更新租户长期安全运营规范。10 常态化每周审计清单配套自动化巡检定时任务代码人工每周巡检固定检查项搭配自动化PowerShell定时任务无需人工手动执行脚本。10.1 每周人工审计清单核查全部邮件转发规则报表清理外部域名转发配置审计邮箱完全访问权限列表删除陌生跨账号授权核对Entra企业OAuth应用清单注销闲置、无备案第三方应用检索Defender高危告警日志核查API批量检索、异地登录告警混合租户核查本地服务主体密钥轮换记录、IP白名单变更记录导出OWA登录日志筛查境外、陌生地区IP登录记录10.2 Windows定时自动巡检脚本计划任务直接部署# 每周自动执行Exchange漏洞风险检测日志输出至固定目录 ## 自动连接云模块静默执行检测Connect-ExchangeOnline-ShowBanner:$falseConnect-MgGraph-ScopesApplication.Read.All,Mail.ReadWrite.All-ErrorAction SilentlyContinue$savePathC:\M365_Audit_Log\if(-(Test-Path$savePath)){New-Item$savePath-ItemType Directory}$timeStampGet-Date-FormatyyyyMMdd# 自动导出转发规则报表Get-Mailbox-ResultSize Unlimited|Get-InboxRule|Where-Object{$_.ForwardTo-or$_.RedirectTo}|Export-Csv$savePath\ForwardRule_$timeStamp.csv-NoTypeInformation-Encoding UTF8# 自动导出越权邮箱权限Get-MailboxPermission-ResultSize Unlimited|Where-Object{$_.AccessRights-matchFullAccess-and$_.User-notmatchSELF}|Export-Csv$savePath\FullAccess_$timeStamp.csv-NoTypeInformation-Encoding UTF8# OAuth应用清单导出Get-MgApplication|Where-Object{$_.RequiredResourceAccess.ResourceAppId-match00000002-0000-0ff1-ce00-000000000000}|SelectDisplayName|Export-Csv$savePath\OAuthApp_$timeStamp.csv-NoTypeInformation-Encoding UTF8# 自动清理7天前审计文件Get-ChildItem$savePath|Where-Object{$_.LastWriteTime-lt(Get-Date).AddDays(-7)}|Remove-Item-Force将脚本保存为Exchange_Audit.ps1Windows计划任务设置每周一凌晨两点自动运行运维上班直接读取报表文件完成核查。11 长期云邮件安全运营规范规避同类授权缺陷再次入侵微软M365套件授权类漏洞会持续出现厂商无法完全消除统一身份体系带来的信任风险企业需要固定运营机制降低漏洞爆发带来的损失。所有云资产执行最小权限分配原则员工、管理员仅分配完成工作必须的权限不开放全租户批量检索、跨邮箱访问权限。身份认证统一标准化全员强制MFA禁止无二次验证的账号登录云邮件系统。OAuth应用永久维持白名单管控模式不开放用户自主授权通道外部第三方工具上线前完成安全审计。内网本地服务器与云端M365资产权限完全隔离拆分双向信任通道杜绝内网凭证直接访问云端邮箱。邮件安全监控常态化开启API行为、客户端登录、转发规则全维度告警告警推送至运维实时通讯工具缩短入侵发现时长。持续跟踪微软云漏洞公告、CISA强制整改指令漏洞披露后48小时内完成租户自查与策略加固不等待厂商后台修复被动防护。每季度完成一次全租户安全评估重新执行全套检测脚本调整条件访问、RBAC权限策略清理长期闲置账号、过期第三方应用授权。互动提问你们企业M365是纯云部署还是本地Exchange Online混合架构日常运维中遇到过哪些OAuth授权带来的安全风险针对Exchange Online批量邮箱检索类异常行为大家现有监控方案是依靠Defender原生规则还是自研PowerShell巡检脚本