新闻中心

——“因为我们的存在，让您的邮件系统更有价值！”

Microsoft Exchange多个高危漏洞

发布时间：2021-03-10 / 浏览次数：6,562次

·发布时间 2020-03-03
·更新时间2021-03-03
·漏洞等级 High
·CVE编号
CVE-2021-26855 高危
CVE-2021-26857 高危
CVE-2021-26858 高危
CVE-2021-27065 高危

漏洞描述

Exchange Server是微软公司的一套电子邮件服务组件，是个消息与协作系统。2021年03月3日，微软官方发布了Microsoft Exchange安全更新，披露了多个高危严重漏洞，其中：

1、在CVE-2021-26855 Exchange SSRF漏洞中，攻击者可直接构造恶意请求，以Exchange server的身份发起任意HTTP请求，扫描内网，并且可获取Exchange用户信息。该漏洞利用无需身份认证。

2、在CVE-2021-26857 Unified Messaging service反序列化漏洞中，攻击者可构造恶意请求，触发反序列化漏洞，从而执行任意代码。成功利用该漏洞需要Exchange administrator权限，或需要配合其他漏洞。

3、在CVE-2021-26858 / CVE-2021-27065 Exchange任意文件写入漏洞中，攻击者可结合CVE-2021-26855 SSRF漏洞，或提供正确的administrator凭证，构造恶意请求，在系统上写入任意文件。

影响范围

Microsoft Exchange 2013

Microsoft Exchange 2016

Microsoft Exchange 2019

Microsoft Exchange 2010

修复方案

微软官方已针对该批漏洞发布相关安全更新补丁，可按照以下链接进行升级：

CVE-2021-26855 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

CVE-2021-26857 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

CVE-2021-26858 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

CVE-2021-27065 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

参考链接

1、https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

2、https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/