2021年8月31日，應急響應中心監測到安全研究員公開了CVE-2021-33766 Microsoft Exchange 認證繞過漏洞分析及其相關POC。

漏洞描述

Microsoft Exchange Server 是微軟公司的一套電子郵件服務組件。2021年8月30日，國外安全研究員公開了CVE-2021-33766 Microsoft Exchange 認證繞過漏洞分析及其POC。攻擊者利用該漏洞可繞過相關權限驗證，在已知相關管理員郵箱賬號的情況下可進行相關敏感的郵箱操作。微軟官方已于2021年4月發布針對該漏洞的更新修補程序，應急響應中心提醒 Microsoft Exchange Server 用戶盡快采取安全措施阻止漏洞攻擊。

漏洞細節：公開

漏洞POC：公開

漏洞EXP：未公開

在野利用：未知

漏洞評級

CVE-2021-33766 Microsoft Exchange 認證繞過漏洞 高危

影響版本

Microsoft Exchange 2010

Microsoft Exchange 2013

Microsoft Exchange 2016

Microsoft Exchange 2019

安全建議

1、微軟官方于 2021年4月已發布相關補丁，2021年7月發布漏洞通告，可前往微軟官方下載相應補丁進行更新：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-33766

2、若暫時無法更新補丁，可利用安全組功能設置 Exchange Server 僅對可信地址開放。

相關鏈接

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-33766