2021年4月14日，微软发布了2021年4月例行安全更新，本次更新共发布CVE  108个，其中严重级别漏洞 19个，重要级别88个。远程代码执行漏洞 56个，安全功能绕过漏洞 5个，信息泄露漏洞 17个，特权提升19个。

本次安全公告发布涉及以下软件：

Azure、Edge（基于Chromium）、Exchange服务器、Excel、Outlook、SharePoint、Word、Windows编解码器库、DNS服务器、Hyper-V、Visual Studio、多个Windows系统组件、SMB服务器、Windows TCP / IP、Win32K驱动、Windows WLAN自动配置服务等。

以下漏洞被标记为“更容易被利用”：

CVE-2021-27072：Win32k 特权提升漏洞

CVE-2021-28319：Windows TCP/IP 驱动程序拒绝服务漏洞

CVE-2021-28324：Windows SMB 信息泄露漏洞

CVE-2021-28325：Windows SMB 信息泄露漏洞

CVE-2021-28442：Windows TCP/IP 信息泄露漏洞

CVE-2021-28480：Microsoft Exchange Server 远程执行代码漏洞

CVE-2021-28481：Microsoft Exchange Server 远程执行代码漏洞

CVE-2021-28482：Microsoft Exchange Server 远程执行代码漏洞

CVE-2021-28483：Microsoft Exchange Server 远程执行代码漏洞

漏洞编号为CVE-2021-28480，CVE-2021-28481，CVE-2021-28482，CVE-2021-28483的Exchange Server远程代码执行漏洞，漏洞等级为“严重级”，漏洞评分：9.8。

攻击者利用这些漏洞，可绕过Exchange身份验证，可以不需要用户交互操作，即可达到命令执行效果。攻击者利用该漏洞，还可以实现内网Exchange服务器间横向扩散。因此，漏洞风险极高。用户务必高度重视该漏洞。

腾讯安全专家建议所有采用Exchange邮件服务的政企机构尽快将Exchange Server升级到最新版本。

Microsoft Exchange Server是微软公司发行的电子邮件服务组件，在企业和政府机构环境中应用广泛。Exchange Server支持多种电子邮件网络协议，如SMTP、NNTP、POP3和IMAP4。 

已披露漏洞详情的漏洞：

CVE-2021-27091：RPC 终点映射程序服务特权提升漏洞

CVE-2021-28312：Windows NTFS 拒绝服务漏洞

CVE-2021-28437：Windows Installer 信息泄露漏洞

CVE-2021-28458：Azure ms-rest-nodeauth 库特权提升漏洞

已出现在野利用的漏洞：

CVE-2021-28310：Win32k 特权提升漏洞

成功利用该漏洞的攻击者可以在目标系统实现权限提升。

完整的CVE列表如下：

“利用可能性”包含三个维度（是否公开[Y/N]/是否在野利用[Y/N]/可利用性评估[D/M/L/U/NA]）

漏洞修复建议：

腾讯安全专家建议政企用户通过腾讯零信任无边界访问控制系统(iOA)对全网Windows系统终端、服务器进行漏洞扫描修复；

个人用户推荐使用腾讯电脑管家内置的漏洞扫描修复功能，或使用Windows自动更新完成修复。

时间线：

2021-4-14，微软发布安全公告；

2021-4-14，腾讯安全发布安全风险通告。

参考链接：

https://msrc.microsoft.com/update-guide/releaseNote/2021-Apr

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！