3 月 2 日，微软发布的紧急安全更新实际上涵盖 7 个相关漏洞。其中 4 个为 0day 漏洞，也是出现实际利用、影响大量用户的几个主要漏洞。详情如下：

* Exchange 服务端请求伪造漏洞（CVE-2021-26855）：未经授权的攻击者利用该漏洞，可发送任意HTTP请求并通过Exchange服务身份验证；

* Exchange 反序列化漏洞（CVE-2021-26857）：具有管理员（administrator）权限的攻击者利用该漏洞通过发送恶意请求，实现在Exchange服务器上以SYSTEM身份的任意代码执行。该漏洞单独利用须具备较高的前提条件；

* Exchange任意文件写入漏洞（CVE-2021-26858 / CVE-2021-27065）：经过Exchange服务身份验证的攻击者，利用该漏洞，可实现对服务器的任意目录文件写入；

四个漏洞被合称为 ProxyLogon。总结来说，利用这些漏洞，可以直接访问邮件内容，并创建 web shell 劫持系统、远程执行命令。目前来看，这些漏洞只影响Exchange的本地版本（Exchange Server 2013；Exchange Server 2016；Exchange Server 2019；Exchange Server 2010）。暂时没有发现 Exchange online或云计算版本受到影响的案例。

关于漏洞的实际影响范围和严重程度，微软还没有给出明确回应。但是根据短短一周内不断攀升的受影响用户数字来看，可能这次漏洞的影响比想象中严重。从 3 月 2 日至今，微软除了发布补丁，也发布了一系列检查和应对指南。

* 缓解措施（3月6日更新）：https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/

* 安全补丁（3月8日更新）：https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

* 安全检查代码（GitHub）：https://github.com/microsoft/CSS-Exchange/tree/main/Security

  * IoC：https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/#scan-log

3 月 9 日，微软还为已经停止支持的 Exchange 服务器提供了补丁：

https://techcommunity.microsoft.com/t5/exchange-team-blog/march-2021-exchange-server-security-updates-for-older-cumulative/ba-p/2192020