2021年3月4日，国家信息安全漏洞共享平台（CNVD）收录了Microsoft Exchange Server远程代码执行漏洞（CNVD-2021-14768、CNVD-2021-14769、CNVD-2021-14770，对应CVE-2021-26854、CVE-2021-26412、CVE-2021-27078）、Microsoft Exchange Server任意文件写入漏洞（CNVD-2021-14810、CNVD-2021-14811，对应CVE-2021-27065、CVE-2021-26858）、Microsoft Exchange Server反序列化漏洞（CNVD-2021-14812，对应CVE-2021-26857）、Microsoft Exchange Server请求伪造漏洞（CNVD-2021-14813，对应CVE-2021-26855）。攻击者综合利用上述漏洞，可在未授权的情况远程执行代码。目前，部分漏洞细节已公开，微软官方已发布新版本修复漏洞，建议用户尽快更新至最新版本进行修复。

一、漏洞情况分析

Exchange是微软公司开发的一套电子邮件服务组件。Exchange不仅支持传统的电子邮件的存取、储存、转发功能，新版本产品中还支持语音邮件、邮件过滤筛选和OWA等辅助功能。

2021年3月2日，微软公司发布了关于Exchange 服务的紧急安全更新，修复了7个相关漏洞：1）Exchange 服务端请求伪造漏洞（CVE-2021-26855）：未经授权的攻击者利用该漏洞，可发送任意HTTP请求并通过Exchange服务身份验证。2）Exchange 反序列化漏洞（CVE-2021-26857）：具有管理员（administrator）权限的攻击者利用该漏洞通过发送恶意请求，实现在Exchange服务器上以SYSTEM身份的任意代码执行。该漏洞单独利用须具备较高的前提条件。3）Exchange任意文件写入漏洞（CVE-2021-26858/CVE-2021-27065）：经过Exchange服务身份验证的攻击者，利用该漏洞，可实现对服务器的任意目录文件写入。4）Exchange远程代码执行漏洞（CVE-2021-26412/CVE-2021-26854/CVE-2021-27078）：攻击者利用此漏洞，可获得目标服务器的权限，最终在服务器上的任意代码执行。

CNVD对上述漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响的产品版本包括：

Exchange Server 2013

Exchange Server 2016

Exchange Server 2019

Exchange Server 2010

CNVD组织技术支撑单位对Microsoft Exchange服务在我国境内的分布情况进行了分析统计，数据显示我国大陆地区共有27825个IP（IP端口）开启了Exchange服务。我平台以Exchange服务端请求伪造漏洞为例开展了漏洞普测工作，结果显示我国大陆地区共有1466台服务器（IP端口）存在该漏洞，受影响比例约为5.3%。

三、漏洞处置建议

目前，微软公司已发布新版本修复上述漏洞，CNVD建议用户立即升级至最新版本，避免引发漏洞相关的网络安全事件。

感谢CNVD技术组支撑单位——北京知道创宇信息技术股份有限公司为本报告提供的数据支持。

（来源 国家互联网应急中心）