Ponieważ aktualizacje są poza kolejnością, firma Microsoft eliminuje kilka luk 0-dniowych w programie Exchange Server. Mówi się, że chińscy hakerzy wykorzystują je do ukierunkowanych ataków na serwery pocztowe.

Na tydzień przed wtorkiem regularnej aktualizacji firma Microsoft wydała nieplanowane aktualizacje zabezpieczeń dla programu Exchange Server 2010 do 2019. Naprawiają siedem luk, w tym cztery sklasyfikowane jako krytyczne, a trzy jako o wysokim ryzyku. Nie ma to wpływu na Exchange Online. Według Microsoft cztery z tych luk (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-2706) są wykorzystywane w atakach ukierunkowanych na serwer Exchange w firmach i organizacjach. Centrum analizy zagrożeń firmy Microsoft (MSTIC) przypisuje te ataki grupie hakerów o nazwie „Hafn”. Mówi się, że jest to wspierana przez państwo grupa, która działa z Chin i korzysta z dzierżawionych serwerów VPN w USA. Napastnicy utworzyli łańcuch exploitów z czterech luk 0-day, przez które przeniknęli do serwera Exchange w celu kradzieży danych i zainstalowania kolejnego złośliwego oprogramowania. Na przykład kradną książkę adresową Exchange, która zawiera informacje o organizacji i jej użytkownikach. W swoim blogu poświęconym bezpieczeństwu firma Microsoft przedstawia szczegółowy opis ataków i nazywa symptomy, które można wykorzystać do identyfikacji ataków, które już miały miejsce. Według Microsoftu, Hafnium Group jest ukierunkowana na szeroką gamę firm i organizacji w Stanach Zjednoczonych. Dotknięte sektory obejmują badania medyczne, firmy prawnicze i firmy obronne, uniwersytety i organizacje pozarządowe (organizacje pozarządowe). Firmy, władze i organizacje (również w Europie), które obsługują własne serwery Exchange, powinny natychmiast zaimportować dostarczone aktualizacje zabezpieczeń, aby chronić się przed takimi atakami. Kolejny regularny dzień aktualizacji przypada na następny wtorek, 9 marca.