昨日，微軟官方釋出了Microsoft Exchange Server的多個漏洞更新，攻擊者可以利用相關漏洞在無需使用者互動的情況下攻擊指定Exchange伺服器，執行任意程式碼。由於其中有4個漏洞已經發現在野攻擊，影響較為嚴重，我們建議相關使用者客戶儘快進行漏洞修復，以防止受到攻擊。

一、漏洞描述

已被利用的4個漏洞：

CVE-2021-26855: Exchange伺服器端請求偽造（SSRF）漏洞，利用此漏洞的攻擊者能夠傳送任意HTTP請求並透過Exchange Server進行身份驗證。

CVE-2021-26857: Exchange反序列化漏洞，該漏洞需要管理員許可權，利用此漏洞的攻擊者可以在Exchange伺服器上以SYSTEM身份執行程式碼。

CVE-2021-26858/CVE-2021-27065: Exchange中身份驗證後的任意檔案寫入漏洞。攻擊者透過Exchange伺服器進行身份驗證後，可以利用此漏洞將檔案寫入伺服器上的任何路徑。該漏洞可以配合CVE-2021-26855 SSRF漏洞進行組合攻擊。

二、影響範圍

Microsoft Exchange Server 2010

Microsoft Exchange Server 2013

Microsoft Exchange Server 2016

Microsoft Exchange Server 2019

三、修復建議

微軟官方已釋出相關安全更新，建議部署Exchange的政企使用者儘快升級修補：

注：修復漏洞前請先備份重要資料

微軟官方通告：

https://support.microsoft.com/zh-cn/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-march-2-2021-kb5000871-9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b

https://support.microsoft.com/zh-cn/topic/description-of-the-security-update-for-microsoft-exchange-server-2010-service-pack-3-march-2-2021-kb5000978-894f27bf-281e-44f8-b9ba-dad705534459

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065