国土安全部已经宣布对微软Exchange的持续攻击是紧急情况。这些攻击始于本周早些时候，目标是微软的Exchange服务器，将几个零日漏洞串连在一起，以访问安全的电子邮件帐户。

国土安全部：袭击是“不可接受的风险”

国土安全部在3月3日晚些时候发布了紧急指令21-02，提供了有关微软Exchange攻击的一些背景信息。

CISA partners have observed active exploitation of vulnerabilities in Microsoft Exchange on-premises products. Neither the vulnerabilities nor the identified exploit activity is currently known to affect Microsoft 365 or Azure Cloud deployments. Successful exploitation of these vulnerabilities allows an attacker to access on-premises Exchange Servers, enabling them to gain persistent system access and control of an enterprise network.

指令接着解释说，这种性质的攻击“给联邦民事执行部门机构带来了不可接受的风险，需要采取紧急行动。”

美国国土安全部规定，美国东部时间3月5日（星期五）下午12点是联邦机构遵守指令中规定的分析和缓解协议的最后期限。

目前，每个机构都必须确定其Microsoft Exchange服务器，完成对其系统内存、日志和注册表配置单元的取证分类，然后分析结果，以确定是否存在任何凭据被盗或其他危害的迹象。

相关：微软Outlook的最佳免费替代品

谁在攻击microsoft exchange服务器？

微软将这一数字直指一个名为“铪”的中国民族国家黑客组织。通常情况下，公司在确定嫌疑犯的名字之前会花更长的时间，但微软毫不怀疑是一个“技术高超、经验丰富的演员”在幕后策划了这次攻击。

Microsoft Threat Intelligence Center (MSTIC) attributes this campaign with high confidence to HAFNIUM, a group assessed to be state-sp***ored and operating out of China, based on observed victimology, tactics and procedures.

部分原因是，Microsoft Exchange攻击将四个以前未知的漏洞串联在一起。您可以在Microsoft安全官方博客上阅读详细信息。

微软还注意到，它观察到铪与微软的office365套件交互，探测漏洞。报告还证实，这次攻击与SolarWinds无关。SolarWinds是一次巨大的网络攻击，影响了多家美国**机构以及几家领先的科技公司。

相关报道：微软披露太阳风网络攻击的实际目标

好消息是，尽管这些攻击仍在进行，并且确实对Microsoft Exchange服务器构成了重大威胁，但Microsoft安全团队已经推出了一系列修补程序来缓解这些漏洞。

您可以在Microsoft技术社区网站上找到有关Microsoft Exchange Server修补程序的更多详细信息，包括如何下载和安装更新，以及如何扫描Exchange服务器以查找泄露迹象。