Microsoft ha confirmado la explotación de una seguridad crítica vulnerabilidad en Exchange Server que fue abordado en Febrero 2024 Martes de parches.
Este reconocimiento se produce apenas un día después de que la compañía publicara correcciones para la falla como parte de sus actualizaciones rutinarias del martes de parches..
CVE-2024-21410: detalles
Identificado como CVE-2024-21410 con una puntuación de gravedad de 9.8 (CVSS), la vulnerabilidad pertenece a un problema de escalada de privilegios dentro de Exchange Server. Según Microsoft, Los atacantes podrían aprovechar esta falla para filtrar credenciales NTLM., dirigido principalmente a clientes como Outlook. Estas credenciales filtradas se utilizan luego para obtener privilegios no autorizados en el servidor Exchange., permitir a actores maliciosos ejecutar operaciones en nombre de la víctima.
Explotación
La explotación exitosa de esta falla facilita la retransmisión del hash Net-NTLMv2 filtrado de un usuario contra un servidor Exchange vulnerable., permitiendo así al atacante autenticarse como usuario. Microsoft ha actualizado su boletín para reflejar la gravedad de la situación, categorizándolo como “Explotación detectada” e implementar protección extendida para la autenticación (EPA) por defecto con el Exchange Server 2019 Actualización acumulativa 14 (CU14) lanzamiento.
Si bien los detalles específicos sobre la explotación y la identidad de los actores de la amenaza siguen sin revelarse, Se han planteado preocupaciones sobre la posible participación de grupos de piratería afiliados al estado., como APT28 (también conocida como tormenta de nieve del bosque), conocido por explotar vulnerabilidades en Microsoft Outlook para ataques de retransmisión NTLM.
Este defecto crítico, CVE-2024-21410, agrava las preocupaciones de seguridad existentes tras el descubrimiento de otras dos vulnerabilidades de Windows (CVE-2024-21351 y CVE-2024-21412), ambas explotadas activamente en ataques del mundo real.. De particular interés es CVE-2024-21412, que permite eludir las protecciones de Windows SmartScreen y se ha atribuido a un grupo de amenazas persistentes avanzado llamado Water Hydra (también conocido como DarkCasino).
Además, La actualización del martes de parches de Microsoft aborda CVE-2024-21413, una falla crítica en el software de correo electrónico Outlook que permite la ejecución remota de código eludiendo medidas de seguridad como la Vista Protegida. Denominado MonikerLink por investigadores de ciberseguridad, esta vulnerabilidad expone a los usuarios a varios riesgos, incluida la fuga de credenciales NTLM locales y la posible ejecución remota de código.
Dada la gravedad de estas vulnerabilidades y su explotación en la naturaleza, Microsoft insta a los usuarios a aplicar las últimas actualizaciones de seguridad de inmediato para proteger sus sistemas y datos de posibles amenazas cibernéticas..
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: