在所有版本的 Microsoft Exchange Server 中发现的零日漏洞

Microsoft 已检测到多个 0day 漏洞被用于以有限且有针对性的攻击方式攻击 Exchange Server 的本地版本。在观察到的活动中，威胁行为者利用此漏洞访问本地 Exchange 服务器，从而可以访问电子邮件帐户，并安装其他恶意软件以促进对受害者环境的长期访问。微软威胁情报中心 (MSTIC) 高度确信此次活动是由 HAFNIUM 发起的，根据观察到的受害者情况、策略和程序，该组织被评估为由国家资助并在中国境外开展活动的组织。

由于 Microsoft 意识到相关漏洞的主动利用（有限的针对性攻击），因此 Microsoft 发布了针对四个不同 Exchange Server 漏洞的安全更新。 Microsoft 强烈敦促客户立即更新本地 Exchange 服务器，以防范这些漏洞并防止未来整个生态系统中的滥用行为。尽管微软已迅速部署针对 HAFNIUM 漏洞的更新，但众所周知，许多民族国家行为者和犯罪集团将在未来几年迅速采取行动，利用任何未修补的系统。及时应用安全更新是抵御此攻击的最佳保护。

为了强调这个问题的重要性，微软今天早些时候进行了一系列网络广播，至少在亚太地区和欧洲、中东和非洲地区。网络广播的讲义可在 https://aka.ms/ExOOB 上获取。

几点说明：

• 所有 Exchange 服务器版本都会受到影响，并且已在 Exchange 2013、Exchange 2016 和 Exchange 2019 上检测到该漏洞。
• 如果您将防火墙限制为仅限 Microsoft（运行 Exchange 混合时），您将不易受到攻击，但风险不会降至零。
• 当前 CU 和之前的 CU 均提供更新。如果您使用的是较旧版本的 Exchange，请升级到当前的 CU，然后才能安装此安全更新。如果您运行的是非常旧版本的 Exchange，您将遇到 .NET Framework 更新问题。请使用 MVP Michel de Rooij 的概述：CU 和 .NET 的升级路径 |八双一 (821)

更新适用于：

• 交换2019 CU8。
• 交换 2019 CU7。
• 交换2016 CU19。
• 交换2016 CU18。
• 交换 2013 CU23。
• Exchange 2010 SP3，RU32。

请注意，安全更新是特定于 CU 的。此外，安全更新是累积的，因此此安全更新也包含以前的安全更新。

安装很简单，从 Microsoft 网站下载更新（但今天早上我已经看到它出现在我们的 WSUS 环境中）并安装它。就我个人而言，我从提升的命令提示符开始更新。 Windows 2019 服务器核心和 Windows 2019 桌面体验上的安装相同。

如果 DAG 中有 Exchange 服务器，请不要忘记首先将它们置于维护模式。安装后，需要重新启动 Exchange 服务器。

更多信息，包括 CVE 信息，请访问：

发布日期：2021 年 3 月 Exchange Server 安全更新 - Microsoft 技术社区

Exchange Server 发布多个安全更新 - 微软安全响应中心

Microsoft Exchange Server 2019、2016 和 2013 安全更新说明： 2021 年 3 月 2 日 (KB5000871)

HAFNIUM 利用 0day 漏洞攻击 Exchange 服务器 - Microsoft Security