2026年6月微软补丁实战手册：漏洞修复清单+Exchange CVE-2026-45504检测脚本与防护方案

2026年6月9日微软推送月度安全更新全量修复206个原生漏洞其中33个为严重级、167个为重要级同步覆盖3个补丁发布前已公开的零日漏洞。行业内常说的“118个核心高危”是精简了Office边缘组件、云服务次要漏洞后的统计口径核心风险点高度集中在Windows内核、HTTP.sys、Exchange Server三大领域。6月25日Exchange SSRF漏洞CVE-2026-45504的完整功能PoC代码公开普通邮箱账号即可读取服务器本地任意文件、延伸权限提升直接把本地Exchange部署企业的修复窗口压缩到24小时以内。这篇手册整理了所有高危漏洞的优先级排序、可直接落地的检测脚本、临时防护方案以及全量补丁的落地执行步骤安全运维人员可以直接对照执行。一、2026年6月补丁整体数据与风险定级1.1 官方数据校正206个漏洞的真实构成微软MSRC官方口径本次更新覆盖206个独立CVE横跨Windows客户端与服务器、Exchange Server、Office全家桶、Hyper-V、Azure云服务、.NET框架等十余条产品线。不同安全厂商统计的“严重级”数量有细微差异核心原因是部分云服务漏洞、边缘组件漏洞是否计入统计口径不同企业运维只需要关注自己在用的产品即可不用纠结总数数字。从漏洞类型分布看权限提升类漏洞数量最多达到64个这类漏洞是内网横向移动、勒索病毒提权的核心载体远程代码执行漏洞共55个其中28个属于严重级无需用户交互就能远程获取系统权限剩余包括30个信息泄露、27个身份欺骗、18个安全功能绕过、7个拒绝服务、3个篡改类漏洞。微软官方标记15个漏洞为“高利用可能性”也就是攻击者能在补丁发布后短时间内写出稳定利用代码。结合3个提前公开的零日漏洞本月实际可快速利用的高危漏洞接近20个属于全年风险等级最高的批次之一。配图12026年6月微软补丁漏洞类型分布占比图图注按漏洞类型划分的数量占比权限提升类占比最高远程代码执行类风险等级最高覆盖企业从公网边界到内网终端的全攻击链路。1.2 本月风险偏高的核心原因常规月度补丁的攻击代码大多需要攻击者逆向补丁差异才能推导原理企业普遍有3-7天的缓冲时间。本月的特殊之处在于多个漏洞的技术细节提前流出攻击者不用逆向就能直接开发利用工具。三个公开零日漏洞分别是CVE-2026-45586 Windows CTF协作翻译框架提权、CVE-2026-49160 HTTP.sys拒绝服务、CVE-2026-50507 BitLocker加密绕过。补丁发布当天圈内就已经流出了可复现的验证代码。叠加6月下旬公开的CVE-2026-45504 Exchange SSRF PoC公网暴露的邮件服务器直接进入“批量扫描”阶段。黑产团伙的常规操作是先扫全网OWA接口撞库拿普通邮箱权限再利用漏洞读服务器配置、拿本地权限最后植入勒索软件或者批量窃取邮件数据。历史上ProxyLogon、ProxyShell漏洞爆发后72小时内就会出现大规模批量入侵这次也不会例外。二、头号高危风险CVE-2026-45504 Exchange SSRF完整拆解2.1 漏洞基础档案CVE-2026-45504属于典型的服务端请求伪造漏洞对应CWE-918CVSS 3.1评分为8.8攻击向量为网络远程仅需低权限普通邮箱账号无需用户交互成功利用后可实现完整的读写删权限。这个漏洞只影响本地部署的Exchange Server微软托管的Exchange Online不受影响。所有还在运维本地Exchange集群的企业都是高风险目标。2.2 底层利用原理WOPI集成的信任盲区漏洞出在Exchange与WOPIWeb应用开放平台接口的文档预览集成模块里。企业用户在OWA里预览Word、Excel附件时Exchange会调用WOPI接口把文件传给Office Online Server渲染成网页版预览内容。正常流程里Exchange先向配置好的WOPI服务器发送请求拿到返回的WebApplicationUrl参数再用这个地址生成最终的预览链接。问题出在GetWacUrl函数上——Exchange完全信任WOPI服务器返回的URL没有校验协议头和地址范围。攻击者可以搭建恶意WOPI节点或者篡改响应包让返回的WebApplicationUrl变成file://开头的本地文件协议地址。再配合URL片段符号#截断后续拼接的参数就能诱导Exchange服务器主动读取本地文件。这个漏洞的本质是信任边界错误Exchange把外部WOPI服务当成了可信内部组件没做最基础的协议校验。普通SSRF大多只能探测内网HTTP服务这个漏洞直接支持file协议一步变成任意本地文件读取危害直接翻倍。配图2CVE-2026-45504攻击链路流程图图注完整攻击链路分为五步攻击者获取普通邮箱权限→构造恶意附件与WOPI节点→诱导用户触发文档预览→Exchange执行file协议读取本地文件→窃取凭证后实现权限提升与内网横向。读取本地文件只是第一步。攻击者拿到win.ini、Exchange数据库连接配置、域服务账号凭证、注册表敏感项之后可以顺着Exchange服务的高权限上下文进一步拿到服务器本地管理员权限再通过Exchange服务器作为跳板横向渗透到整个域内。2.3 PoC公开后的真实攻击路径目前公开的PoC已经实现了稳定的任意文件读取不需要管理员权限只要有一个能登录OWA的普通邮箱账号就能触发。结合公网上大量存在的弱口令邮箱、泄露的账号密码攻击者的利用门槛非常低。黑产的标准攻击流程已经成型全网扫描开放443端口、存在OWA/ECP接口的Exchange服务器用社工库、弱口令字典批量撞库拿到普通员工的邮箱账号权限调用EWS接口创建引用附件指向恶意WOPI服务地址触发附件预览读取服务器本地的敏感配置文件利用获取的凭证提权写入webshell植入后门或者勒索病毒。整个流程自动化之后单台服务器的入侵时间不超过10分钟。批量扫描的情况下一天可以遍历数十万IP段筛选出未打补丁的目标。2.4 受影响版本与对应补丁KB只有本地部署的Exchange Server受影响具体版本和对应修复补丁如下Exchange版本最低安全版本要求对应修复KBExchange 2016 CU2315.01.2507.041KB5094144Exchange 2019 CU1415.02.1544.041KB5094142Exchange 2019 CU1515.02.1748.046KB5094140Exchange 订阅版15.02.2562.043KB5094139不在上述CU版本里的旧版Exchange微软不再提供安全补丁。还在运行Exchange 2013、2016旧CU版本的企业要么立刻升级到最新CU再打补丁要么直接下线迁移没有其他安全方案。三、本月必修高危漏洞清单按业务场景排序不用按CVSS从高到低死记硬背按设备的业务场景和暴露范围排序优先级更清晰。3.1 公网暴露设备24小时内必须修复这类设备直接暴露在公网攻击者不需要内网权限就能远程攻击是所有风险里最高的一档。CVE-2026-45657 Windows内核TCP/IP远程代码执行CVSS 9.8严重级存在可蠕虫化潜力。漏洞位于tcpip.sys驱动攻击者发送特制的TCP/IP数据包就能触发远程代码执行无需认证、无需用户交互。受影响系统包括Windows 11 22H2以上版本、Windows Server 2022/2025。这个漏洞和当年的永恒之蓝属于同一类风险一旦出现稳定EXP就能在内网自动传播未打补丁的机器会批量沦陷。公网直接暴露3389、445等端口的服务器优先级最高。CVE-2026-47291 HTTP.sys远程代码执行所有基于HTTP.sys的Web服务都受影响包括IIS、Exchange前端、Windows Admin Center等。攻击者发送特制HTTP请求就能远程执行代码公网所有对外提供Web服务的Windows主机都在风险范围内。CVE-2026-49160 HTTP.sys拒绝服务也就是圈内说的“HTTP/2炸弹”。单条恶意HTTP/2请求就能耗尽服务器内存导致服务崩溃死机。不需要认证只要能访问Web端口就能触发。对外提供网站、API服务的服务器被人打一下就断服业务影响非常直接。CVE-2026-45504 Exchange SSRF提权前面单独拆解过公网暴露的本地Exchange服务器是本次最高风险目标没有之一。3.2 内网核心节点72小时内完成修复这类设备不直接对公网开放但一旦攻击者拿到内网立足点就能利用这些漏洞横向扩权拿下核心业务系统。CVE-2026-45648 Active Directory域服务远程代码执行域控服务器专属漏洞攻击者拿到域内普通权限后就能利用这个漏洞提升到域管理员权限直接接管整个域。所有域控服务器必须优先修复。CVE-2026-45586 Windows CTF协作翻译框架提权三个公开零日之一本地低权限用户可以直接提权到SYSTEM级别。这个漏洞在终端和服务器上都存在是勒索病毒、木马程序的标准提权链组件。只要内网有一台机器被入侵就能用这个漏洞拿到系统权限再横向扩散。CVE-2026-44815 Windows DHCP客户端远程代码执行攻击者控制内网DHCP服务器或者在同网段伪造DHCP响应就能给所有开启DHCP的终端下发恶意配置触发远程代码执行。内网办公终端、服务器如果用动态IP都会受影响。打印服务、文件服务器相关RCE漏洞本月修复了多个Windows打印后台处理程序的远程代码执行漏洞。内网打印服务器、开启了共享打印的终端都是常见的横向移动跳板。3.3 终端与办公设备一周内完成推送CVE-2026-50507 BitLocker加密绕过三个公开零日之一物理攻击者通过USB介质就能绕过BitLocker全盘加密直接读取硬盘数据。外勤笔记本、机房物理服务器、带外管理设备只要有人能物理接触到主机就存在数据失窃风险。Office系列远程代码执行漏洞本月修复了多个Word、Excel组件的漏洞用户打开恶意文档就会执行代码是钓鱼攻击的常用载体。办公终端是主要受影响对象配合邮件钓鱼的成功率很高。蓝牙、外设驱动类提权漏洞这类漏洞大多需要本地交互风险相对低一些但对于有外接设备的终端依然需要修复避免被恶意程序利用提权。3.4 云与混合架构节点CVE-2026-48567 Azure HorizonDB权限提升CVSS满分10.0云侧租户提权漏洞。使用Azure相关数据库服务的企业需要关注微软云侧的修复进度同步检查自身租户的权限配置。Hyper-V虚拟机逃逸漏洞多个Hyper-V的严重级RCE漏洞虚拟机内的攻击者可以利用漏洞逃逸到宿主机影响整个虚拟化集群。搭建了私有云、虚拟化平台的企业需要同步修复宿主机补丁。配图3企业补丁修复优先级矩阵图图注横轴为网络暴露范围纵轴为漏洞风险等级划分四个优先级象限对应不同修复时限和设备类型方便企业快速匹配自身资产。四、企业级补丁落地执行手册漏洞清单列完只是第一步真正落地推送还要解决资产梳理、兼容性测试、灰度推送、应急回滚一堆问题。很多企业不是不想打补丁是怕打崩业务。这部分讲实操步骤尽量避开常见的坑。4.1 先做资产梳理别漏了边缘设备很多入侵案例里攻击者攻破的都不是核心业务服务器而是没人管的边缘设备——测试环境的旧Exchange、分公司的打印服务器、闲置的工控机、运维人员忘了下线的测试主机。先拉全量资产清单重点核对几类容易遗漏的设备公网IP段内所有开放Windows端口的设备包括非标准端口的Web服务所有Exchange节点包括边缘传输服务器、前端CAS节点别只补了邮箱服务器域内所有域控、DHCP、DNS服务器一个都不能漏长期不登录的闲置服务器、测试环境主机这类设备往往补丁停更很久。没有资产台账的话先用端口扫描工具扫一遍内网和公网IP段至少把Windows设备、Web服务、邮件服务捞出来别等被入侵了才知道自己还有这么一台机器。4.2 优先级排期的实操标准不要只看CVSS分数排优先级要结合两个维度判断设备的暴露范围、业务的重要程度。一个简单的风险计算公式最终风险值 CVSS基础分 × 暴露系数 × 业务权重暴露系数公网直接暴露取1.5半公网/VPN访问取1纯内网隔离取0.5业务权重核心业务系统取1.5一般业务取1测试/闲置设备取0.5。算出来数值越高修复优先级越靠前。比如公网Exchange的风险值是8.8×1.5×1.519.8远高于内网隔离服务器的9.8×0.5×14.9。哪怕CVSS低一分实际风险反而高很多。4.3 补丁灰度测试与兼容性避坑Windows补丁打崩业务的情况很常见尤其是.NET框架更新、内核补丁、Exchange更新很容易影响业务软件运行。标准的测试流程分三步测试环境验证找和生产环境同版本的测试机先打补丁重启后检查核心业务服务、常用软件能不能正常运行观察24小时没有异常再往下走。小批量灰度先推给非核心业务部门、办公终端占比控制在10%以内跑1-2天收集报错反馈。全量推送灰度没有问题再分批次推给核心业务尽量选夜间、周末业务低谷期操作。Exchange补丁有几个特殊注意点更新前先备份Exchange配置和IIS配置更新顺序先CAS节点后邮箱节点更新后必须重启服务器不能只重启服务。更新完成后检查邮件队列、OWA登录、收发信功能确认所有服务正常运行。4.4 应急回滚方案补丁打崩业务是大概率事件提前备好回滚方案比什么都重要。普通Windows补丁可以通过“设置-更新和安全-查看更新历史记录-卸载更新”回滚或者用DISM命令卸载指定KBExchange补丁可以通过控制面板卸载对应更新包卸载前务必停止所有Exchange服务核心服务器打补丁前拍好系统快照、备份系统状态万一补丁卸载不了直接回滚快照。高危补丁推送前一定要先确认回滚路径可用。别等机器蓝屏起不来了才发现快照没拍、备份没做。五、CVE-2026-45504实战检测与临时防护脚本这部分提供三个可直接复制运行的PowerShell脚本适用于Exchange服务器自查、检测、临时防护。所有脚本都需要以管理员身份运行。5.1 Exchange版本与补丁状态检测脚本这个脚本自动检测当前Exchange服务器的版本号、CU版本检查对应安全补丁是否安装直接输出是否受CVE-2026-45504影响。# .SYNOPSIS 检测Exchange服务器是否受CVE-2026-45504漏洞影响 #Write-Host Exchange CVE-2026-45504 漏洞检测脚本 -ForegroundColor Cyan# 获取Exchange版本信息$exchangeServerGet-ExchangeServer-Identity$env:COMPUTERNAME-ErrorAction Stop$adminDisplayVersion$exchangeServer.AdminDisplayVersion$versionParts$adminDisplayVersion.Split( )$buildNumber$versionParts[-1]Write-Host当前Exchange版本:$adminDisplayVersion(内部版本号:$buildNumber)# 定义各版本安全基线$safeVersions {15.01[Version]15.01.2507.041# Exchange 2016 CU2315.02 {CU14[Version]15.02.1544.041CU15[Version]15.02.1748.046Subscription[Version]15.02.2562.043}}# 检测补丁状态$currentBuild[Version]$buildNumber$isSafe$falseif($currentBuild.Major-eq15-and$currentBuild.Minor-eq1){# Exchange 2016if($currentBuild-ge$safeVersions[15.01]){$isSafe$true}}elseif($currentBuild.Major-eq15-and$currentBuild.Minor-eq2){# Exchange 2019 / 订阅版if($currentBuild-ge$safeVersions[15.02][Subscription]){$isSafe$true}elseif($currentBuild-ge$safeVersions[15.02][CU15]-and$currentBuild.Build-lt2000){$isSafe$true}elseif($currentBuild-ge$safeVersions[15.02][CU14]-and$currentBuild.Build-lt1700){$isSafe$true}}# 检查已安装KB$installedKBGet-HotFix|Where-Object{$_.HotFixID-in(KB5094144,KB5094142,KB5094140,KB5094139)}if($installedKB){Write-Host已安装安全补丁:$($installedKB.HotFixID-join, )-ForegroundColor Green}# 输出结果if($isSafe){Write-Hostn[安全] 当前版本已修复CVE-2026-45504漏洞-ForegroundColor Green}else{Write-Hostn[高危] 当前版本存在CVE-2026-45504漏洞请立即安装对应安全补丁-ForegroundColor RedWrite-Host参考补丁: Exchange 2016 CU23→KB5094144; Exchange 2019 CU14→KB5094142; CU15→KB5094140-ForegroundColor Yellow}5.2 WOPI配置安全检测脚本检查当前Exchange的WOPI绑定配置识别是否存在不可信的外部WOPI节点判断是否有被利用的风险。# .SYNOPSIS 检测Exchange WOPI配置安全性 #Write-Host Exchange WOPI配置安全检测 -ForegroundColor Cyan# 获取所有WOPI绑定$wopiBindingsGet-WOPIBinding-ErrorAction SilentlyContinueif(-not$wopiBindings){Write-Host未检测到WOPI绑定配置无法触发文档预览类SSRF攻击-ForegroundColor Greenexit}Write-Host检测到以下WOPI绑定配置:$wopiBindings|Format-TableServerName,Zone,WopiSrcUrl-AutoSize# 检查是否为内网可信地址$internalWarning$falseforeach($bindingin$wopiBindings){$wopiUrl$binding.WopiSrcUrlif($wopiUrl-matchfile://-or$wopiUrl-match127\.0\.0\.1-or$wopiUrl-matchlocalhost){Write-Hostn[高危] 检测到本地协议WOPI配置存在SSRF利用风险:$wopiUrl-ForegroundColor Red$internalWarning$true}elseif($wopiUrl-notmatch^https?://(localhost|127\.0\.0\.1|10\.|172\.(1[6-9]|2[0-9]|3[01])\.|192\.168\.|internal\.|corp\.)){Write-Hostn[警告] 检测到公网/外部WOPI节点:$wopiUrl-ForegroundColor YellowWrite-Host建议确认该节点可信度非必要请移除外部WOPI绑定-ForegroundColor Yellow$internalWarning$true}}if(-not$internalWarning){Write-Hostn[正常] 所有WOPI节点均为内网可信地址-ForegroundColor Green}Write-Hostn防护建议: 如非业务必需建议关闭WOPI文档预览功能确需使用请仅保留内部可信OOS节点-ForegroundColor Cyan5.3 紧急临时防护脚本还没来得及打补丁的紧急场景下运行这个脚本可以一键禁用WOPI文档预览功能阻断CVE-2026-45504的利用路径。业务需要恢复时重新绑定WOPI节点即可。# .SYNOPSIS 紧急禁用WOPI集成临时阻断CVE-2026-45504攻击路径 #Write-Host 紧急禁用WOPI集成 临时防护 -ForegroundColor Cyan$confirmRead-Host确认要移除所有WOPI绑定、禁用文档预览功能吗(输入Y确认)if($confirm-eqY-or$confirm-eqy){# 移除所有WOPI绑定$wopiBindingsGet-WOPIBinding-ErrorAction SilentlyContinueif($wopiBindings){foreach($bindingin$wopiBindings){Remove-WOPIBinding-ServerName$binding.ServerName-Zone$binding.Zone-Confirm:$falseWrite-Host已移除WOPI绑定:$($binding.ServerName)-$($binding.Zone)}}# 重启OWA应用池Restart-WebAppPoolMSExchangeOWAAppPool-ErrorAction SilentlyContinueRestart-WebAppPoolMSExchangeECPAppPool-ErrorAction SilentlyContinueWrite-Hostn[完成] WOPI集成已禁用CVE-2026-45504攻击路径已临时阻断-ForegroundColor GreenWrite-Host注意: 这只是临时缓解措施请尽快安装正式安全补丁-ForegroundColor Yellow}else{Write-Host操作已取消-ForegroundColor Gray}5.4 攻击日志排查命令怀疑已经被攻击的话可以用下面的命令排查IIS日志里的异常请求重点关注file协议、异常WOPI请求。# 排查OWA日志中包含file协议的异常请求$logPathC:\inetpub\logs\LogFiles\W3SVC1Get-ChildItem$logPath-Filter*.log|ForEach-Object{Get-Content$_.FullName|Select-Stringfile://|Select-Object-First 10}# 排查WOPI相关异常请求Get-ChildItem$logPath-Filter*.log|ForEach-Object{Get-Content$_.FullName|Select-Stringwopi|WacUrl|Where-Object{$_-notmatchinternal.corp}|Select-Object-First 10}配图4Exchange WOPI模块架构与防护点示意图图注标注Exchange WOPI集成链路的三个核心防护点入口参数校验、出站流量限制、补丁修复对应不同层级的防护方案。六、长期防御体系搭建从补丁应急到常态化安全靠应急打补丁永远追不上漏洞的速度尤其是Exchange这类常年出高危漏洞的产品必须搭建纵深防御体系把风险提前降下来。6.1 Exchange服务器的纵深防御只靠补丁守不住Exchange要做五层防护第一层公网前置WAF或者邮件网关拦截异常请求、SQL注入、恶意附件把大部分攻击挡在外面。不要让Exchange服务器直接对公网暴露端口。第二层OWA和ECP接口做IP白名单只允许办公网、VPN网段访问普通员工外网收信用移动端Outlook或者网页版走网关别直接开放全公网登录。第三层开启Exchange扩展保护也就是KB5017260对应的身份校验加固能挡住大部分中继、伪造类攻击。第四层权限最小化。普通邮箱用户不需要EWS管理权限、不需要远程PowerShell权限能关的权限全关掉。攻击者就算拿到普通账号也做不了太多操作。第五层日志审计和告警。监控异常的文件读取、异常的权限变更、短时间内大量失败登录出现告警立刻排查。6.2 月度补丁的常态化运营把补丁星期二变成固定流程不用每次漏洞爆发了才手忙脚乱。固定节奏每月第二周周三微软发补丁当天出内部漏洞分析和优先级清单周四在测试环境完成补丁验证周五开始推送非核心业务终端和服务器下一周完成核心业务修复月底出全量修复报告。小团队可以不用这么复杂但至少要固定每个月第二周处理补丁别攒着几个月一起打。攒的补丁越多兼容性问题越大越不敢打最后形成恶性循环。6.3 收缩攻击面比打补丁更有效很多企业的思路是有漏洞就打补丁但从来不想想这个服务是不是必须对公网开放。本地Exchange是不是一定要自己搭能不能迁到云邮箱打印服务器是不是一定要开在域管理员权限下能不能降权运行公网是不是一定要开那么多端口能不能只留必要的业务端口把不需要的服务关掉把不需要公网暴露的设备收回到内网把高权限服务降权攻击面缩下来哪怕有几个漏洞没及时打攻击者也碰不到。这比追着每个补丁打要高效得多。6.4 本地Exchange的退役规划Exchange 2016的主流支持已经结束扩展支持也进入倒计时。从ProxyLogon到ProxyShell再到现在的CVE-2026-45504本地Exchange几乎每年都会爆出一两个能直接打穿的高危漏洞运维成本和安全风险越来越高。有条件的企业可以规划迁移到Exchange Online或者第三方企业邮箱彻底甩掉本地运维的包袱。暂时不能迁移的至少要升级到最新的CU版本严格限制公网访问权限别裸奔放在公网上。七、后续风险预警与行业趋势7.1 短期攻击预判接下来1-2周CVE-2026-45504会进入批量利用阶段。黑产团伙会扫遍全网公网Exchange窃取邮件数据、植入勒索后门。还没打补丁的企业大概率会被扫到。内核TCP/IP漏洞的稳定EXP也会在近期出现。这个漏洞具备蠕虫特性一旦出现公开EXP内网传播速度会非常快没打补丁的内网机器会批量沦陷类似当年永恒之蓝的传播场景。7.2 微软补丁的长期趋势近几年微软月度补丁的数量一直在涨从早年的几十个涨到现在的两百多个。一方面是代码量越来越大另一方面是云服务、AI组件的加入攻击面在持续扩张。可以预见的是未来Copilot类AI组件、云混合架构的漏洞会越来越多。企业的安全边界越来越模糊传统的打补丁、装杀毒软件的模式会越来越跟不上漏洞的速度。7.3 企业安全的应对方向未来的企业安全核心不是“补漏洞”而是“控风险”。不用追求100%的补丁修复率这不现实。要做的是把高风险的资产找出来把暴露面收窄把核心业务保护好。非核心、高风险的老旧系统该下线就下线该迁移就迁移留着就是定时炸弹。零信任、最小权限、攻击面收敛这些听起来很虚的概念落到实处就是能不对外开的端口就不开能不给的权限就不给能不用的老旧系统就不用。做到这些哪怕每月有两百个漏洞真正能影响到核心业务的也没几个。你们公司的本地Exchange服务器已经完成补丁更新了吗有没有遇到补丁兼容性问题对于每月一次的补丁星期二你们团队的常规修复周期是多久