Până la 97.000 de servere Microsoft Exchange pot fi vulnerabile la un defect de escaladare a privilegiilor cu risc ridicat, urmărit ca CVE-2024-21410, pe care hackerii o exploatează în mod activ.
Microsoft a abordat această problemă pe 13 februarie, când fusese deja exploatată ca zi zero. În prezent, 28.500 de servere au fost identificate ca fiind vulnerabile.
Exchange Server este utilizat pe scară largă în mediile de afaceri pentru a facilita comunicarea și colaborarea între utilizatori, oferind servicii de e-mail, calendar, de gestionare a contactelor și de gestionare a sarcinilor.
Problema de securitate permite actorilor de la distanță neautentificați să efectueze atacuri de retransmisie NTLM pe serverele Microsoft Exchange și să își escaladeze privilegiile asupra sistemului.
Astăzi, serviciul de monitorizare a amenințărilor a anunțat Servitorul din Umbră Scanerele sale au identificat aproape 97.000 de servere ca fiind potențial vulnerabile.
Din totalul de 97.000, starea vulnerabilă a aproximativ 68.500 de servere depinde de dacă administratorii au implementat măsuri de atenuare, în timp ce 28.500 de servere s-au confirmat a fi vulnerabile la amenințarea CVE-2024-21410.
Cele mai afectate țări sunt Germania (22.903 cazuri), Statele Unite (19.434), Regatul Unit (3.665), Franța (3.074), Austria (2.987), Rusia (2.771), Canada (2.554) și Elveția (2.119). . .
În prezent, nu există un exploit proof-of-concept (PoC) disponibil public pentru CVE-2024-21410, ceea ce limitează oarecum numărul de atacatori care folosesc defectul în atacuri.
Pentru a aborda CVE-2024-21410, administratorilor de sistem li se recomandă să aplice Exchange Server 2019 Cumulative Update 14 (CU14) lansat în cursul Patch Tuesday din februarie 2024, care activează protecțiile releului de acreditări NTLM.
Agenția SUA pentru Securitate Cibernetică și Securitate a Infrastructurii (CISA) a făcut acest lucru CVE-2024-21410 adăugat la catalogul „Vulnerabilități exploatate cunoscute”, oferind agențiilor federale până la 7 martie 2024 pentru a aplica actualizările/atenuările disponibile sau pentru a opri utilizarea produsului.
Exploatarea CVE-2024-21410 poate avea consecințe grave pentru o organizație, deoarece atacatorii cu permisiuni ridicate pentru Exchange Server pot accesa date confidențiale, cum ar fi comunicațiile prin e-mail și pot folosi serverul ca rampă pentru alte atacuri asupra rețelei.
„Iubitor tipic de twitter. Muzicholic pe tot parcursul vieții. Fanatic al culturii pop. Prieten al animalelor de pretutindeni. Evanghelist avid de bere. Jucător certificat.”