服務(wù)公告

全部公告 > 安全公告 > Microsoft Exchange Server身份驗證繞過漏洞預警（CVE-2021-33766）

Microsoft Exchange Server身份驗證繞過漏洞預警（CVE-2021-33766）

一、概要

近日，華為云關(guān)注到國外有安全研究人員披露了Microsoft Exchange Server認證繞過漏洞（CVE-2021-33766）利用細節(jié)。攻擊者通過發(fā)送特制的惡意請求，可以繞過身份驗證。利用此漏洞可獲取服務(wù)器敏感信息。目前POC公開，漏洞風險高。

Microsoft Exchange Server 是微軟公司的一套電子郵件服務(wù)組件。華為云提醒使用Microsoft Exchange Server的用戶及時安排自檢并做好安全加固。

二、漏洞級別

漏洞級別：【嚴重】

（說明：漏洞級別共四級：一般、重要、嚴重、緊急）

三、漏洞影響范圍

影響版本：

Microsoft Exchange 2013

Microsoft Exchange 2016

Microsoft Exchange 2019

四、安全建議

目前微軟官方已發(fā)布相關(guān)補丁，請受影響的用戶及時升級修復：

華為云WAF具備對該漏洞防御能力。華為云WAF用戶將“Web基礎(chǔ)防護”狀態(tài)設(shè)置為“攔截”模式，具體方法請參見配置Web基礎(chǔ)防護規(guī)則。

注：修復漏洞前請將資料備份，并進行充分測試。