微软于2021年3月2日发布公告，我们检测到多个利用“零日漏洞”来攻击Microsoft Exchange Server的有限的，有针对性的攻击事件。在我们观察到的攻击中，攻击者利用漏洞访问企业的本地Exchange Server环境，使其能够访问电子邮件帐户，并允许安装额外的恶意软件，以方便长期访问受害者环境。 最近被利用的漏洞有CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065，所有这些漏洞都在今天的微软安全响应中心(MSRC)发布的多个Exchange Server安全更新中得到了解决。我们强烈建议贵司立即部署以下针对本地Exchange Server环境的更新（包括累积更新和安全更新）。如果您在使用Microsoft 365 或 Office 365的Exchange Online则不受影响。

受影响的环境

漏洞的严重性、影响和基础CVSS评估

这组漏洞包括远程代码执行漏洞，其严重程度评级为紧急。该组漏洞中最高的基础CVSS分数为9.1。微软了解到已经开始有黑客利用此版本中的四个Exchange Server漏洞，对企业内部的Exchange服务器进行了有限的针对性攻击。

微软采取了什么措施？作为客户需要采取什么动作？

微软为以下版本的Exchange Server发布了一系列安全更新，我们建议立即安装这些更新，以防止可能的攻击。

Exchange Server 2010 (RU 31 for Service Pack 3 – this is a Defense in Depth update)

Exchange Server 2013 (CU 23)

Exchange Server 2016 (CU 19, CU 18)

Exchange Server 2019 (CU 8, CU 7)

请注意：

Microsoft 提供的安全更新支持安装在Exchange Server 2016 和 Exchange Server 2019 最近的两个版本的累积更新 (CU)上，支持安装在Exchange Server 2010 和 Exchange Server 2013最新版本的更新汇总 (UR) 和累积更新 (CU)上。

任何未更新的 Exchange Server都需要安装受支持的 UR 或 CU，然后才能安装新的安全更新。

您可以使用 Exchange Server Health Checker 脚本，该脚本可从 GitHub 下载（使用最新版本）。运行此脚本将告诉您被检查的Exchange服务器是否需要更新（请注意，该脚本不支持 Exchange Server 2010）。

Exchange 管理员应考虑更新过时的 Exchange 服务器UR或CU所需的额外时间。

尊敬的客户，

是否需要优先处理特定的Exchange Server?

是的。面向互联网的 Exchange Server（例如，发布Outlook on the web/OWA 和ECP的Exchange服务器）的风险较高，应首先更新这些服务器。您的服务计划应包括确定和优先处理面向互联网的Exchange服务器。

有针对这些攻击的临时缓解方法吗?

这些漏洞被用作攻击链的一部分。最初的攻击需要能够对Exchange服务器的443端口进行不受信任的连接。可以通过限制不受信任的连接，或通过设置VPN将Exchange服务器与外部访问分开来防止这种攻击。使用这种缓解措施只能防止攻击的初始部分；如果攻击者已经有了访问权限，或者可以说服管理员运行恶意文件，则可以触发攻击链的其他部分。

我该如何寻求帮助？

请致电我们：010-88472430、010-88472429、010-88473540