1、Microsoft Exchange Server介绍

Microsoft Exchange Server是美国微软（Microsoft）公司的一套电子邮件服务程序，它可以被用来构架应用于企业、学校的邮件系统。可以提供邮件存取、转发、邮件过滤、语音邮件等功能，适合有各种协作需求的用户使用。

2、漏洞描述

微软于9月9日 发布了Microsoft Exchange Server远程代码执行漏洞安全通告。此漏洞CVE编号CVE-2020-16875，CVSS 评分:9.1。

当Microsoft Exchange Server软件无法正确处理内存中的对象时，会造成远程代码执行漏洞。成功利用此漏洞的攻击者可以在系统用户的上下文中运行任意代码，攻击者可以利用此漏洞向易受攻击的Exchange服务器发送精心构造的电子邮件。成功后可以安装程序，查看、更改或删除数据，或创建新帐户。

3、漏洞复现

Microsoft Exchange Server 2016 Cumulative Update 16, 17

Microsoft Exchange Server 2019 Cumulative Update 5, 6