一、基本情况

近日，监测发现Microsoft发布了Exchange 安全更新通告，本次安全更新修复了四个蠕虫级别的远程命令执行漏洞，漏洞编号为CVE-2021-28480，CVE-2021-28481，CVE-2021-28482，CVE-2021-28483。攻击者利用此漏洞，可绕过Exchange身份验证，达到命令执行的效果。目前微软官方已发布针对该漏洞的补丁更新，建议受影响用户及时更新进行防护，做好资产自查以及预防工作，以免遭受黑客攻击。

二、 漏洞等级

高危

三、 漏洞描述

Microsoft Exchange Server是微软公司的一个消息与协作系统。

攻击者利用此漏洞，可绕过Exchange身份验证，并且不需要用户交互，即可达到命令执行的效果。同时，这些漏洞是蠕虫级的，所以可在内网的Exchange服务器间横向扩散，请广大用户务必尽快更新。

四、 影响范围

Microsoft Exchange: 2016、 2019、 2013

五、 安全建议

建议受影响用户及时根据自身Exchange版本，通过以下链接进行安全更新：

Exchange2013：http://www.microsoft.com/download/details.aspx?familyid=f827ff3b-194c-4470-aa8f-6cedc0d95d07

Exchange2016：http://www.microsoft.com/download/details.aspx?familyid=b13f23a9-5603-4b13-8e16-6d35b5b33524

Exchange2019：http://www.microsoft.com/download/details.aspx?familyid=5aa2aaf7-860d-4977-acd4-82096c83c5f0

六、 参考链接

https://techcommunity.microsoft.com/t5/exchange-team-blog/released-april-2021-exchange-server-security-updates/ba-p/2254617

来源：https://cstis.cn/post/1456b97a-a688-e50d-fbc4-c2258a29e4ac