Microsoft證實，在Exchange Server中有兩個尚未補丁的零日漏洞，已經在現實世界的攻擊中，被網路犯罪分子給利用了。

越南網路安全公司GTSC首先發現這些缺陷，這是該公司於今年八月，對一位客戶的網路安全事件做回應時順道發現的。該公司表示，這兩個零日漏洞被用於攻擊他們客戶的環境，日期可追溯到今年八月初。

MS的安全響應中心（MSRC）於九月底的一篇部落格貼文中說，這兩個漏洞其一被確定為CVE-2022-41040，這是伺服器端請求偽造（SSRF）漏洞。第二個漏洞則被確定為CVE-2022-41082，當攻擊者可以訪問PowerShell時，便能獲准在脆弱的伺服器上執行遠端代碼操控。MS說：「目前，MS知道只有有限的目標攻擊，是利用這兩個漏洞來進入用戶端系統。」受影響的MS Exchange Server版本，分別是2013、2016與2019。