微软公司发布多个Exchange蠕虫级远程命令执行漏洞通告

2021年4月14日,我国网络安全企业奇虎360公司发布漏洞通告称,微软公司近期发布了Exchange安全更新,修复了四个蠕虫级别的远程命令执行漏洞。漏洞编号为CVE-2021-28480、CVE-2021-28481、CVE-2021-28482和CVE-2021-28483,漏洞等级为严重,漏洞评分为9.8。攻击者可以通过该漏洞绕过Exchange身份验证,并且不需要用户交互即可达到命令执行的效果。同时,该漏洞达到蠕虫级别,可在内网的Exchange服务器间横向扩散,对用户影响较大。 Microsoft Exchange Server是微软公司的一套电子邮件服务组件,除传统的电子邮件的存取、储存、转发作用外,在新版本的产品中加入了一系列辅助功能,如语音邮件、邮件过滤筛选和OWA。Exchange Server支持多种电子邮件网络协议,如SMTP、NNTP、POP3和IMAP4。本次发现的漏洞将影响从2013年到2019年的本地Exchange Server版本,攻击者将CVE-2021-28480、CVE-2021-28481、CVE-2021-28482和CVE-2021-28483这四个漏洞结合利用可绕过Exchange身份验证机制,无需用户交互,实现远程代码执行。值得注意的是,该漏洞可造成蠕虫级漏洞危害,易对用户造成重大影响。 目前,微软公司已发布针对该漏洞的补丁更新,建议广大用户根据自身Exchange版本及时进行自查并尽快安装最新版本。