Microsoft在Exchange中发布了4个被利用0天的紧急补丁

Microsoft敦促客户尽快安装紧急补丁程序，以防止受到技能熟练的黑客的攻击，这些黑客正在积极利用Exchange Server中的四个零日漏洞。

该软件制造商表示，代表中国政府工作的黑客一直在使用以前未知的漏洞来破解已完全修补的本地Exchange Server软件。到目前为止，正如微软所说的那样，Ha是唯一看到利用该漏洞的组织，但该公司表示，这种情况可能会改变。

微软公司客户安全与安全副总裁说：“尽管我们已经为部署针对f漏洞的更新进行了迅速的工作，但我们知道许多民族国家的行为者和犯罪集团将迅速采取行动，以利用任何未打补丁的系统。”信托公司汤姆·伯特（Tom Burt）在周二下午发表的一篇文章中写道。 “及时应用当今的补丁是抵御这种攻击的最佳保护。”

Burt除了确定目标是使用本地Exchange Server软件的企业之外没有确定目标。他说，f是在中国开展业务的，其主要目的是窃取美国传染病研究人员，律师事务所，高等教育机构，国防承包商，政策智囊团和非政府组织的数据。

Burt补充说，Microsoft并未意识到有针对性的个人消费者，或者这些漏洞影响了其他Microsoft产品。他还表示，这些攻击绝非与SolarWinds相关的黑客事件有关，该黑客事件至少破坏了9个美国政府机构和约100家私营公司。 Microsoft Exchange Server 2013、2016和2019中存在零日漏洞。这四个漏洞是：

CVE-2021-26855，一个服务器端请求伪造（SSRF）漏洞，允许攻击者发送任意HTTP请求并通过Exchange Server进行身份验证。

CVE-2021-26857，统一消息服务中的不安全反序列化漏洞。不安全的反序列化是指程序将不信任的用户可控制数据反序列化。利用此漏洞，Hafnium可以在Exchange服务器上以SYSTEM身份运行代码。这需要管理员权限或要利用的另一个漏洞。

CVE-2021-26858，身份验证后的任意文件写入漏洞。如果Hafnium可以通过Exchange服务器进行身份验证，则可以使用此漏洞将文件写入服务器上的任何路径。该小组可以利用CVE-2021-26855 SSRF漏洞或通过破坏合法管理员的凭据进行身份验证。

CVE-2021-27065，身份验证后的任意文件写入漏洞。如果Hafnium可以通过Exchange服务器进行身份验证，则他们可以使用此漏洞将文件写入服务器上的任何路径。它可以通过利用CVE-2021-26855 SSRF漏洞或通过破坏合法管理员的凭据来进行身份验证。

使用密码被盗或通过使用零日假扮黑客将其伪装成应具有访问权限的人员，从而获得对Exchange服务器的访问权限

与Hafnium一样，该小组从美国租用的虚拟专用服务器运营。

微软认为安全公司Volexity和Dubex私下向Microsoft报告了攻击的不同部分，并协助进行了后续调查。使用Exchange Server漏洞版本的企业应尽快应用修补程序。