Microsoft于4月14日发布Exchange 安全更新的通告,本次安全更新修复了四个蠕虫级别的远程命令执行漏洞。
1
漏洞描述
Microsoft发布了Exchange安全更新的通告,本次安全更新修复了四个蠕虫级别的远程命令执行漏洞。漏洞编号为CVE-2021-28480,CVE-2021-28481,CVE-2021-28482,CVE-2021-28483,漏洞等级:严重,漏洞评分:9.8。
攻击者利用此漏洞,可绕过Exchange身份验证,且可以不需要用户交互操作,即可达到命令执行效果。攻击者利用该漏洞,可以实现内网Exchange服务器间横向扩散,用户务必高度重视该漏洞。因此,漏洞风险极高。在攻防演练模拟实战场景,需要特别重视。
腾讯安全专家建议所有采用Exchange邮件服务的政企机构尽快将Exchange升级到最新版本。
Microsoft Exchange Server是微软公司发行的电子邮件服务组件,在企业和政府机构环境中应用广泛。Exchange Server支持多种电子邮件网络协议,如SMTP、NNTP、POP3和IMAP4。
2
漏洞等级
严重
3
受影响的版本
Exchange Server 2013,2016,2019
4
安全版本
微软已发布安全更新
5
漏洞修复建议
微软官方已发布针对该漏洞的补丁更新,受影响的用户可通过以下链接下载安装漏洞补丁:
Exchange Server2013:
http://www.microsoft.com/download/details.aspx?familyid=f827ff3b-194c-4470-aa8f-6cedc0d95d07
Exchange Server2016:
http://www.microsoft.com/download/details.aspx?familyid=b13f23a9-5603-4b13-8e16-6d35b5b33524
Exchange Server2019:
http://www.microsoft.com/download/details.aspx?familyid=5aa2aaf7-860d-4977-acd4-82096c83c5f0
6
时间线
2021-04-14,微软发布安全更新
2021-04-14,腾讯安全发布风险通告
参考链接:
Released: April 2021 Exchange Server Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-april-2021-exchange-server-security-updates/ba-p/2254617