尊敬的客户：

您好，这是一封重要并紧急的安全公告，用于帮助您加固您企业中的Exchange Server环境，请务必仔细阅读以下内容并按照建议操作执行。

微软于2021年3月2日发布公告：

我们检测到多个利用“零日漏洞”来攻击Microsoft Exchange Server的有限的，有针对性的攻击事件。在我们观察到的攻击中，攻击者利用漏洞访问企业的本地Exchange Server环境，使其能够访问电子邮件帐户，并允许安装额外的恶意软件，以方便长期访问受害者环境。

最近被利用的漏洞有CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065，所有这些漏洞都在今天的微软安全响应中心(MSRC)发布的多个Exchange Server安全更新中得到了解决。我们强烈建议贵司立即部署以下针对本地Exchange Server环境的更新（包括累积更新和安全更新）。如果您在使用Microsoft 365 或 Office 365的Exchange Online则不受影响。

受影响的环境？

Exchange Server 2013， 2016， 2019版本均受到影响。

Microsoft 365 或 Office 365 Exchange Online则不受影响。

漏洞的严重性、影响和基础CVSS评估？

这组漏洞包括远程代码执行漏洞，其严重程度评级为紧急。该组漏洞中最高的基础CVSS分数为9.1。微软了解到已经开始有黑客利用此版本中的四个Exchange Server漏洞，对企业内部的Exchange服务器进行了有限的针对性攻击。

微软采取了什么措施？作为客户需要采取什么动作？

微软为以下版本的Exchange Server发布了一系列安全更新，我们建议立即安装这些更新，以防止可能的攻击。

• Exchange Server 2010 (RU 31 for Service Pack 3 – thisis a Defense in Depth update)
• Exchange Server 2013 (CU 23)
• Exchange Server 2016 (CU 19, CU 18)
• Exchange Server 2019 (CU 8, CU 7)

请注意：

• Microsoft 提供的安全更新支持安装在Exchange Server 2016 和 Exchange Server 2019 最近的两个版本的累积更新 (CU)上，支持安装在Exchange Server 2010 和 Exchange Server 2013最新版本的更新汇总 (UR) 和累积更新 (CU)上。
  
• 任何未更新的 Exchange Server都需要安装受支持的 UR 或CU，然后才能安装新的安全更新。 
  
• 您可以使用 ExchangeServer Health Checker 脚本，该脚本可从 GitHub 下载（使用最新版本）。运行此脚本将告诉您被检查的Exchange服务器是否需要更新（请注意，该脚本不支持 Exchange Server 2010）。
  
  

是否需要优先处理特定的Exchange Server?

是的。面向互联网的 Exchange Server（例如，发布Outlook on the web/OWA 和ECP的Exchange服务器）的风险较高，应首先更新这些服务器。您的服务计划应包括确定和优先处理面向互联网的Exchange服务器。

有针对这些攻击的临时缓解方法吗? 

这些漏洞被用作攻击链的一部分。最初的攻击需要能够对Exchange服务器的443端口进行不受信任的连接。可以通过限制不受信任的连接，或通过设置VPN将Exchange服务器与外部访问分开来防止这种攻击。使用这种缓解措施只能防止攻击的初始部分；如果攻击者已经有了访问权限，或者可以说服管理员运行恶意文件，则可以触发攻击链的其他部分。

相关资源（英文）

·         CVE-2021-26855 | Microsoft Exchange Server 远程代码执行漏洞: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855    

·         CVE-2021-26857 | Microsoft Exchange Server 远程代码执行漏洞: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857    

·         CVE-2021-26858 | Microsoft Exchange Server 远程代码执行漏洞: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858     

·         CVE-2021-27065 | Microsoft Exchange Server 远程代码执行漏洞: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065