微軟于2021年3月2日發(fā)布公告，我們檢測到多個利用“零日漏洞”來攻擊Microsoft Exchange Server的有限的，有針對性的攻擊事件。在我們觀察到的攻擊中，攻擊者利用漏洞訪問企業(yè)的本地Exchange Server環(huán)境，使其能夠訪問電子郵件帳戶，并允許安裝額外的惡意軟件，以方便長期訪問受害者環(huán)境。 最近被利用的漏洞有CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065，所有這些漏洞都在今天的微軟安全響應(yīng)中心(MSRC)發(fā)布的多個Exchange Server安全更新中得到了解決。我們強(qiáng)烈建議貴司立即部署以下針對本地Exchange Server環(huán)境的更新（包括累積更新和安全更新）。如果您在使用Microsoft 365 或 Office 365的Exchange Online則不受影響。

受影響的環(huán)境

漏洞的嚴(yán)重性、影響和基礎(chǔ)CVSS評估

這組漏洞包括遠(yuǎn)程代碼執(zhí)行漏洞，其嚴(yán)重程度評級為緊急。該組漏洞中最高的基礎(chǔ)CVSS分?jǐn)?shù)為9.1。微軟了解到已經(jīng)開始有黑客利用此版本中的四個Exchange Server漏洞，對企業(yè)內(nèi)部的Exchange服務(wù)器進(jìn)行了有限的針對性攻擊。

微軟采取了什么措施？作為客戶需要采取什么動作？

微軟為以下版本的Exchange Server發(fā)布了一系列安全更新，我們建議立即安裝這些更新，以防止可能的攻擊。

Exchange Server 2010 (RU 31 for Service Pack 3 – this is a Defense in Depth update)

Exchange Server 2013 (CU 23)

Exchange Server 2016 (CU 19, CU 18)

Exchange Server 2019 (CU 8, CU 7)

請注意：

Microsoft 提供的安全更新支持安裝在Exchange Server 2016 和 Exchange Server 2019 最近的兩個版本的累積更新 (CU)上，支持安裝在Exchange Server 2010 和 Exchange Server 2013最新版本的更新匯總 (UR) 和累積更新 (CU)上。

任何未更新的 Exchange Server都需要安裝受支持的 UR 或 CU，然后才能安裝新的安全更新。

您可以使用 Exchange Server Health Checker 腳本，該腳本可從 GitHub 下載（使用最新版本）。運(yùn)行此腳本將告訴您被檢查的Exchange服務(wù)器是否需要更新（請注意，該腳本不支持 Exchange Server 2010）。

Exchange 管理員應(yīng)考慮更新過時的 Exchange 服務(wù)器UR或CU所需的額外時間。

尊敬的客戶，

是否需要優(yōu)先處理特定的Exchange Server?

是的。面向互聯(lián)網(wǎng)的 Exchange Server（例如，發(fā)布Outlook on the web/OWA 和ECP的Exchange服務(wù)器）的風(fēng)險較高，應(yīng)首先更新這些服務(wù)器。您的服務(wù)計劃應(yīng)包括確定和優(yōu)先處理面向互聯(lián)網(wǎng)的Exchange服務(wù)器。

有針對這些攻擊的臨時緩解方法嗎?

這些漏洞被用作攻擊鏈的一部分。最初的攻擊需要能夠?qū)�Exchange服務(wù)器的443端口進(jìn)行不受信任的連接�？梢酝ㄟ^限制不受信任的連接，或通過設(shè)置VPN將Exchange服務(wù)器與外部訪問分開來防止這種攻擊。使用這種緩解措施只能防止攻擊的初始部分；如果攻擊者已經(jīng)有了訪問權(quán)限，或者可以說服管理員運(yùn)行惡意文件，則可以觸發(fā)攻擊鏈的其他部分。

我該如何尋求幫助？

請致電我們：010-88472430、010-88472429、010-88473540