据微软称，微软已经发布了更新，以解决Exchange Server中四个以前未知或“零天”的漏洞，这些漏洞被用于有限的目标攻击。

由于这些漏洞的严重级别，微软敦促客户尽快应用更新。这些缺陷影响了Exchange Server 2013、Exchange Server 2016和Exchange Server 2019。Exchange Online不受影响。

“我们强烈建议所有Exchange Server客户立即应用这些更新，微软称这次攻击是由一个名为“铪”的组织发起的，该组织是一个由国家资助的威胁行为体，在中国活动。

请参见：网络安全策略（TechRepublic Premium）

攻击者利用本地Exchange服务器中的漏洞访问用户的电子邮件帐户。这四个漏洞被追踪为CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065。

总部位于华盛顿特区的安全公司Volexity在分析中说，该漏洞CVE-2021-26855被用来窃取多个用户邮箱的全部内容。该漏洞不需要身份验证，可以远程利用。

“攻击者只需要知道运行Exchange的服务器和要从中提取电子邮件的帐户，“Volexity分析师指出，

Velocity说，这些攻击似乎早在2021年1月6日就开始了。

Exchange电子邮件服务器这是一个很有吸引力的目标，因为他们持有大量有关组织的电子邮件信息。

去年，Microsoft警告Exchange server客户修补一个不同的关键漏洞（CVE-2020-0688），多个高级持久性威胁参与者很快就利用了该漏洞。然而，在微软警告企业紧急修补这一缺陷几个月后，CVE-2021-26858是Exchange中的一个身份验证后任意文件写入漏洞。如果铪可以通过Exchange服务器进行身份验证，那么他们就可以利用此漏洞将文件写入服务器上的任何路径。他们可以通过利用CVE-2021-26855 SSRF漏洞或破坏合法管理员的凭据来进行身份验证。