2021年3月4日，国家信息安全漏洞共享平台（CNVD）收录了Microsoft Exchange Server远程代码执行漏洞（CNVD-2021-14768、CNVD-2021-14769、CNVD-2021-14770，对应CVE-2021-26854、CVE-2021-26412、CVE-2021-27078）、Microsoft Exchange  Server任意文件写入漏洞（CNVD-2021-14810、CNVD-2021-14811，对应CVE-2021-27065、CVE-2021-26858）、Microsoft Exchange  Server反序列化漏洞（CNVD-2021-14812，对应CVE-2021-26857）、Microsoft Exchange  Server请求伪造漏洞（CNVD-2021-14813，对应CVE-2021-26855）。攻击者综合利用上述漏洞，可在未授权的情况远程执行代码。目前，部分漏洞细节已公开，微软官方已发布新版本修复漏洞，建议用户尽快更新至最新版本进行修复。

一、漏洞情况分析

Exchange是微软公司开发的一套电子邮件服务组件。Exchange不仅支持传统的电子邮件的存取、储存、转发功能，新版本产品中还支持语音邮件、邮件过滤筛选和OWA等辅助功能。

2021年3月2日，微软公司发布了关于Exchange  服务的紧急安全更新，修复了7个相关漏洞：

1）Exchange  服务端请求伪造漏洞（CVE-2021-26855）：未经授权的攻击者利用该漏洞，可发送任意HTTP请求并通过Exchange服务身份验证。

2）Exchange  反序列化漏洞（CVE-2021-26857）：具有管理员（administrator）权限的攻击者利用该漏洞通过发送恶意请求，实现在Exchange服务器上以SYSTEM身份的任意代码执行。该漏洞单独利用须具备较高的前提条件。

3）Exchange任意文件写入漏洞（CVE-2021-26858/CVE-2021-27065）：经过Exchange服务身份验证的攻击者，利用该漏洞，可实现对服务器的任意目录文件写入。

4）Exchange远程代码执行漏洞（CVE-2021-26412/CVE-2021-26854/CVE-2021-27078）：攻击者利用此漏洞，可获得目标服务器的权限，最终在服务器上的任意代码执行。

CNVD对上述漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响的产品版本包括：

Exchange  Server  2013

Exchange  Server  2016

Exchange  Server  2019

Exchange  Server  2010

CNVD组织技术支撑单位对Microsoft Exchange服务在我国境内的分布情况进行了分析统计，数据显示我国大陆地区共有27825个IP（IP端口）开启了Exchange服务。我平台以Exchange服务端请求伪造漏洞为例开展了漏洞普测工作，结果显示我国大陆地区共有1466台服务器（IP端口）存在该漏洞，受影响比例约为5.3%。

三、漏洞处置建议

目前，微软公司已发布新版本修复上述漏洞，CNVD建议用户立即升级至最新版本，避免引发漏洞相关的网络安全事件。

各单位、各部门要高度重视及时警示，堵塞漏洞，消除安全隐患，提高安全防范能力。如发现所管理网站、信息系统涉及上述安全隐患及时处置并上报网信办。

（转自 国家信息安全漏洞共享平台） 

 

 

 

                    网络安全和信息化办公室 

                       2021年3月16日