微软近期发布Exchange Server的紧急安全更新，修复了7个相关漏洞，Exchange 服务端请求伪造漏洞（CVE-2021-26855）：未经身份验证的攻击者能够构造HTTP请求扫描内网并通过Exchange Server进行身份验证。Exchange 反序列化漏洞（CVE-2021-26857）：具有管理员权限的攻击者可以在Exchange服务器上以SYSTEM身份运行任意代码。Exchange 任意文件写入漏洞（CVE-2021-26858/CVE-2021-27065）：经过身份验证的攻击者可以利用漏洞将文件写入服务器上的任意目录，可结合CVE-2021-26855进行组合攻击。及3个Exchange远程代码执行漏洞（CVE-2021-26412/CVE-2021-26854/CVE-2021-27078）。

参考链接：

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

影响范围：

受影响版本

Exchange Server 2019

Exchange Server 2016

Exchange Server 2013

Exchange Server 2010

漏洞防护：

补丁更新

目前微软官方已针对受支持的产品版本发布了修复该漏洞的安全补丁，建议受影响用户开启系统自动更新安装补丁进行防护。

注：由于网络问题、计算机环境问题等原因，Windows Update的补丁更新可能出现失败。用户在安装补丁后，应及时检查补丁是否成功更新。右键点击Windows徽标，选择“设置(N)”，选择“更新和安全”-“Windows更新”，查看该页面上的提示信息，也可点击“查看更新历史记录”查看历史更新情况。

防护建议

1、 在未完成补丁修复之前，通过入侵检测设备重点监测Exchange服务器非法外连及对内端口扫描和蠕虫行为；

2、 建议相关用户请勿打开来历不明的邮件，避免被攻击者利用漏洞在机器上执行恶意代码；

3、 如果不能及时安装补丁，建议关注Exchange用户登录异常情况，清理僵尸账号、离职员工或供应商账号，以及重置登录异常的账户和弱口令账户密码，并使其满足较强的口令规范。