Microsoft Exchange Server身份验证绕过漏洞预警（CVE-2021-33766）

2021-09-01

一、概要

近日，华为云关注到国外有安全研究人员披露了Microsoft Exchange Server认证绕过漏洞（CVE-2021-33766）利用细节。攻击者通过发送特制的恶意请求，可以绕过身份验证。利用此漏洞可获取服务器敏感信息。目前POC公开，漏洞风险高。

Microsoft Exchange Server 是微软公司的一套电子邮件服务组件。华为云提醒使用Microsoft Exchange Server的用户及时安排自检并做好安全加固。

参考链接：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-33766

二、漏洞级别

漏洞级别：【严重】

（说明：漏洞级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

Microsoft Exchange 2013

Microsoft Exchange 2016

Microsoft Exchange 2019

四、安全建议

目前微软官方已发布相关补丁，请受影响的用户及时升级修复：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-33766

华为云WAF具备对该漏洞防御能力。华为云WAF用户将“Web基础防护”状态设置为“拦截”模式，具体方法请参见配置Web基础防护规则。

注：修复漏洞前请将资料备份，并进行充分测试。