Microsoft heeft de exploitatie van een kritieke beveiliging bevestigd kwetsbaarheid in Exchange Server waarin werd ingegaan Februari 2024 Patch Tuesday.
Deze erkenning komt slechts een dag nadat het bedrijf oplossingen voor de fout heeft uitgebracht als onderdeel van de routinematige Patch Tuesday-updates.
CVE-2024-21410: Details
Geïdentificeerd als CVE-2024-21410 met een ernstscore van 9.8 (CVSS), het beveiligingslek heeft betrekking op een probleem met de escalatie van bevoegdheden binnen Exchange Server. Volgens Microsoft, aanvallers kunnen deze fout misbruiken om NTLM-referenties te lekken, voornamelijk gericht op klanten zoals Outlook. Deze gelekte inloggegevens worden vervolgens gebruikt om ongeautoriseerde rechten op de Exchange-server te verkrijgen, waardoor kwaadwillende actoren namens het slachtoffer operaties kunnen uitvoeren.
Exploitatie
De succesvolle exploitatie van deze fout vergemakkelijkt het doorgeven van de gelekte Net-NTLMv2-hash van een gebruiker aan een kwetsbare Exchange Server, waardoor de aanvaller zich kan authenticeren als de gebruiker. Microsoft heeft zijn bulletin bijgewerkt om de ernst van de situatie weer te geven, categoriseren als “Uitbuiting gedetecteerd” en het implementeren van uitgebreide bescherming voor authenticatie (EPA) standaard met de Exchange Server 2019 Cumulatieve update 14 (CU14) vrijlating.
Hoewel specifieke details met betrekking tot de uitbuiting en de identiteit van dreigingsactoren niet openbaar worden gemaakt, Er zijn zorgen geuit over de mogelijke betrokkenheid van aan de staat gelieerde hackgroepen, zoals APT28 (ook bekend als Forest Blizzard), bekend om het misbruiken van kwetsbaarheden in Microsoft Outlook voor NTLM-relay-aanvallen.
Deze kritieke fout, CVE-2024-21410, versterkt bestaande beveiligingsproblemen na de ontdekking van twee andere Windows-kwetsbaarheden – CVE-2024-21351 en CVE-2024-21412 – die beide actief worden uitgebuit bij aanvallen in de echte wereld. Van bijzonder belang is CVE-2024-21412, waarmee de Windows SmartScreen-beveiligingen kunnen worden omzeild en wordt toegeschreven aan een geavanceerde aanhoudende dreigingsgroep genaamd Water Hydra (ook wel DarkCasino genoemd).
Bovendien, De Patch Tuesday-update van Microsoft adresseert CVE-2024-21413, een kritieke fout in de e-mailsoftware van Outlook die het uitvoeren van code op afstand mogelijk maakt door beveiligingsmaatregelen zoals Protected View te omzeilen. Door cybersecurityonderzoekers MonikerLink genoemd, deze kwetsbaarheid stelt gebruikers bloot aan verschillende risico's, inclusief het lekken van lokale NTLM-referenties en mogelijke uitvoering van code op afstand.
Gezien de ernst van deze kwetsbaarheden en de exploitatie ervan in het wild, Microsoft dringt er bij gebruikers op aan om de nieuwste beveiligingsupdates onmiddellijk toe te passen om hun systemen en gegevens te beschermen tegen potentiële cyberbedreigingen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: