Microsoft a confirmé l'exploitation d'une sécurité critique vulnérabilité dans Exchange Server qui a été abordé dans Février 2024 Patch Tuesday.
Cette reconnaissance intervient juste un jour après que la société a publié des correctifs pour la faille dans le cadre de ses mises à jour de routine du Patch Tuesday..
CVE-2024-21410: Détails
Identifié comme CVE-2024-21410 avec un score de gravité de 9.8 (CVSS), la vulnérabilité concerne un problème d'élévation de privilèges au sein d'Exchange Server. Selon Microsoft, les attaquants pourraient exploiter cette faille pour divulguer les informations d'identification NTLM, ciblant principalement des clients tels qu'Outlook. Ces informations d'identification divulguées sont ensuite utilisées pour obtenir des privilèges non autorisés sur le serveur Exchange., permettre à des acteurs malveillants d'exécuter des opérations au nom de la victime.
Exploitation
L'exploitation réussie de cette faille facilite le relais du hachage Net-NTLMv2 d'un utilisateur vers un serveur Exchange vulnérable., permettant ainsi à l'attaquant de s'authentifier en tant qu'utilisateur. Microsoft a mis à jour son bulletin pour refléter la gravité de la situation, le catégorisant comme “Exploitation détectée” et mise en œuvre d'une protection étendue pour l'authentification (EPA) par défaut avec le serveur Exchange 2019 Mise à jour cumulative 14 (CU14) Libération.
Bien que les détails spécifiques concernant l'exploitation et l'identité des acteurs de la menace restent confidentiels, des inquiétudes ont été soulevées quant à l'implication potentielle de groupes de hackers affiliés à l'État, comme APT28 (également connu sous le nom de Forest Blizzard), connu pour exploiter les vulnérabilités de Microsoft Outlook pour les attaques par relais NTLM.
Ce défaut critique, CVE-2024-21410, aggrave les problèmes de sécurité existants suite à la découverte de deux autres vulnérabilités Windows – CVE-2024-21351 et CVE-2024-21412 – toutes deux activement exploitées dans des attaques réelles. Il convient de noter en particulier CVE-2024-21412., qui permet de contourner les protections Windows SmartScreen et a été attribué à un groupe de menaces persistantes avancées nommé Water Hydra (alias DarkCasino).
En outre, La mise à jour du Patch Tuesday de Microsoft corrige le CVE-2024-21413, une faille critique dans le logiciel de messagerie Outlook permettant l'exécution de code à distance en contournant les mesures de sécurité telles que le mode protégé. Appelé MonikerLink par les chercheurs en cybersécurité, cette vulnérabilité expose les utilisateurs à divers risques, y compris la fuite des informations d'identification NTLM locales et l'exécution potentielle de code à distance.
Compte tenu de la gravité de ces vulnérabilités et de leur exploitation dans la nature, Microsoft exhorte les utilisateurs à appliquer rapidement les dernières mises à jour de sécurité pour protéger leurs systèmes et données contre les cybermenaces potentielles..