Microsoft hat die Ausnutzung einer kritischen Sicherheitsmaßnahme bestätigt Sicherheitslücke im Exchange Server was in angesprochen wurde Februar 2024 Patchday.
Diese Bestätigung erfolgt nur einen Tag, nachdem das Unternehmen im Rahmen seiner routinemäßigen Patch-Tuesday-Updates Korrekturen für den Fehler veröffentlicht hat.
CVE-2024-21410: Einzelheiten
Identifiziert als CVE-2024-21410 mit einem Schweregrad von 9.8 (CVSS-), Die Sicherheitslücke bezieht sich auf ein Problem mit der Rechteausweitung innerhalb von Exchange Server. Laut Microsoft, Angreifer könnten diesen Fehler ausnutzen, um NTLM-Anmeldeinformationen preiszugeben, richtet sich hauptsächlich an Kunden wie Outlook. Diese durchgesickerten Anmeldeinformationen werden dann verwendet, um sich unbefugte Berechtigungen auf dem Exchange-Server zu verschaffen, Es ermöglicht böswilligen Akteuren, Operationen im Namen des Opfers auszuführen.
Ausbeutung
Die erfolgreiche Ausnutzung dieser Schwachstelle erleichtert die Weiterleitung des durchgesickerten Net-NTLMv2-Hash eines Benutzers an einen anfälligen Exchange-Server, Dadurch kann sich der Angreifer als Benutzer authentifizieren. Microsoft hat sein Bulletin aktualisiert, um den Ernst der Lage widerzuspiegeln, Kategorisieren Sie es als “Ausbeutung erkannt” und Implementierung eines erweiterten Authentifizierungsschutzes (EPA) standardmäßig mit dem Exchange Server 2019 Kumulatives Update 14 (CU14) Freisetzung.
Spezifische Details zur Ausnutzung und zur Identität der Bedrohungsakteure bleiben jedoch geheim, Es wurden Bedenken hinsichtlich einer möglichen Beteiligung staatsnaher Hackergruppen geäußert, wie APT28 (auch bekannt als Waldsturm), bekannt dafür, Schwachstellen in Microsoft Outlook für NTLM-Relay-Angriffe auszunutzen.
Dieser kritische Fehler, CVE-2024-21410, Verschärft bestehende Sicherheitsbedenken nach der Entdeckung zweier weiterer Windows-Schwachstellen – CVE-2024-21351 und CVE-2024-21412 – die beide aktiv in realen Angriffen ausgenutzt werden. Besonders hervorzuheben ist CVE-2024-21412, Dies ermöglicht die Umgehung des Windows SmartScreen-Schutzes und wurde einer fortgeschrittenen persistenten Bedrohungsgruppe namens Water Hydra zugeschrieben (auch bekannt als DarkCasino).
Weiter, Das Patch Tuesday-Update von Microsoft behebt CVE-2024-21413, Ein kritischer Fehler in der Outlook-E-Mail-Software, der die Remote-Codeausführung durch Umgehung von Sicherheitsmaßnahmen wie Protected View ermöglicht. Von Cybersicherheitsforschern als MonikerLink bezeichnet, Diese Sicherheitslücke setzt Benutzer verschiedenen Risiken aus, einschließlich der Offenlegung lokaler NTLM-Anmeldeinformationen und der möglichen Remotecodeausführung.
Angesichts der Schwere dieser Schwachstellen und ihrer Ausnutzung in freier Wildbahn, Microsoft fordert Benutzer dringend auf, die neuesten Sicherheitsupdates zeitnah anzuwenden, um ihre Systeme und Daten vor potenziellen Cyberbedrohungen zu schützen.