Microsoft ha confermato lo sfruttamento di una sicurezza critica vulnerabilità in Exchange Server che è stato affrontato in Febbraio 2024 Patch Martedì.
Questo riconoscimento arriva appena un giorno dopo che la società ha rilasciato le correzioni per il difetto come parte dei suoi aggiornamenti di routine del Patch Tuesday.
CVE-2024-21410: Dettagli
Identificato come CVE-2024-21410 con un punteggio di gravità pari a 9.8 (CVSS), la vulnerabilità riguarda un problema di escalation dei privilegi all'interno di Exchange Server. Secondo Microsoft, gli aggressori potrebbero sfruttare questa falla per far trapelare le credenziali NTLM, mirando principalmente a client come Outlook. Queste credenziali trapelate vengono quindi utilizzate per ottenere privilegi non autorizzati sul server Exchange, consentire ad attori malintenzionati di eseguire operazioni per conto della vittima.
Sfruttamento
Lo sfruttamento riuscito di questa falla facilita l'inoltro dell'hash Net-NTLMv2 trapelato da un utente verso un server Exchange vulnerabile, consentendo così all'aggressore di autenticarsi come utente. Microsoft ha aggiornato il suo bollettino per riflettere la gravità della situazione, classificandolo come “Rilevato sfruttamento” e l'implementazione della protezione estesa per l'autenticazione (EPA) per impostazione predefinita con Exchange Server 2019 Aggiornamento cumulativo 14 (CU14) uscita.
Mentre i dettagli specifici riguardanti lo sfruttamento e l’identità degli autori delle minacce rimangono segreti, sono state sollevate preoccupazioni sul potenziale coinvolgimento di gruppi di hacker affiliati allo stato, come APT28 (noto anche come Bufera di neve della foresta), noto per sfruttare le vulnerabilità in Microsoft Outlook per attacchi di inoltro NTLM.
Questo difetto critico, CVE-2024-21410, aggrava i problemi di sicurezza esistenti in seguito alla scoperta di altre due vulnerabilità di Windows – CVE-2024-21351 e CVE-2024-21412 – entrambe sfruttate attivamente in attacchi nel mondo reale. Di particolare nota è CVE-2024-21412, che consente di aggirare le protezioni di Windows SmartScreen ed è stato attribuito a un gruppo di minacce persistenti avanzate denominato Water Hydra (ovvero DarkCasino).
Inoltre, L'aggiornamento Patch Tuesday di Microsoft risolve CVE-2024-21413, un difetto critico nel software di posta elettronica di Outlook che consente l'esecuzione di codice in modalità remota aggirando le misure di sicurezza come la Visualizzazione protetta. Chiamato MonikerLink dai ricercatori di sicurezza informatica, questa vulnerabilità espone gli utenti a vari rischi, inclusa la perdita di credenziali NTLM locali e la potenziale esecuzione di codice remoto.
Data la gravità di queste vulnerabilità e il loro sfruttamento in natura, Microsoft esorta gli utenti ad applicare tempestivamente gli ultimi aggiornamenti di sicurezza per salvaguardare i propri sistemi e dati da potenziali minacce informatiche.