Microsoft har bekræftet udnyttelsen af en kritisk sikkerhed sårbarhed i Exchange Server som blev behandlet i Februar 2024 Patch tirsdag.
Denne anerkendelse kommer blot en dag efter, at virksomheden udstedte rettelser til fejlen som en del af dets rutinemæssige Patch Tuesday-opdateringer.
CVE-2024-21410: Detaljer
Identificeret som CVE-2024-21410 med en sværhedsgrad på 9.8 (CVSS), sårbarheden vedrører et privilegieeskaleringsproblem i Exchange Server. Ifølge Microsoft, angribere kunne udnytte denne fejl til at lække NTLM-legitimationsoplysninger, primært målrettet kunder som Outlook. Disse lækkede legitimationsoplysninger bruges derefter til at opnå uautoriserede privilegier på Exchange-serveren, gør det muligt for ondsindede aktører at udføre operationer på vegne af offeret.
Udnyttelse
Den vellykkede udnyttelse af denne fejl letter relæet af en brugers lækkede Net-NTLMv2 hash mod en sårbar Exchange Server, derved giver angriberen mulighed for at autentificere som bruger. Microsoft har opdateret sin bulletin for at afspejle situationens alvor, kategorisere det som “Udnyttelse opdaget” og implementering af udvidet beskyttelse for godkendelse (EPA) som standard med Exchange Server 2019 Kumulativ opdatering 14 (CU14) frigøre.
Mens specifikke detaljer vedrørende udnyttelsen og identiteten af trusselsaktører forbliver uoplyst, der er blevet rejst bekymringer om potentiel involvering fra statstilknyttede hackergrupper, såsom APT28 (også kendt som Forest Blizzard), kendt for at udnytte sårbarheder i Microsoft Outlook til NTLM-relæangreb.
Denne kritiske fejl, CVE-2024-21410, forstærker eksisterende sikkerhedsproblemer efter opdagelsen af to andre Windows-sårbarheder – CVE-2024-21351 og CVE-2024-21412 – begge aktivt udnyttet i virkelige angreb. Særligt bemærkelsesværdigt er CVE-2024-21412, som tillader omgåelse af Windows SmartScreen-beskyttelse og er blevet tilskrevet en avanceret vedvarende trusselgruppe ved navn Water Hydra (alias DarkCasino).
Endvidere, Microsofts Patch Tuesday-opdatering adresserer CVE-2024-21413, en kritisk fejl i Outlook e-mail-software, der muliggør fjernudførelse af kode ved at omgå sikkerhedsforanstaltninger som Protected View. Benævnt MonikerLink af cybersikkerhedsforskere, denne sårbarhed udsætter brugerne for forskellige risici, herunder lækage af lokale NTLM-legitimationsoplysninger og potentiel fjernudførelse af kode.
I betragtning af alvoren af disse sårbarheder og deres udnyttelse i naturen, Microsoft opfordrer brugere til at anvende de seneste sikkerhedsopdateringer omgående for at beskytte deres systemer og data mod potentielle cybertrusler.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: