A Microsoft confirmou a exploração de uma segurança crítica vulnerabilidade no Exchange Server que foi abordado em fevereiro 2024 patch Tuesday.
Este reconhecimento ocorre apenas um dia depois que a empresa emitiu correções para a falha como parte de suas atualizações de rotina do Patch Tuesday..
CVE-2024-21410: detalhes
Identificado como CVE-2024-21410 com uma pontuação de gravidade de 9.8 (CVSS), a vulnerabilidade refere-se a um problema de escalonamento de privilégios no Exchange Server. De acordo com a Microsoft, os invasores podem explorar essa falha para vazar credenciais NTLM, visando principalmente clientes como o Outlook. Essas credenciais vazadas são então usadas para obter privilégios não autorizados no servidor Exchange, permitindo que atores mal-intencionados executem operações em nome da vítima.
Exploração
A exploração bem-sucedida dessa falha facilita a retransmissão do hash Net-NTLMv2 vazado de um usuário contra um Exchange Server vulnerável, permitindo assim que o invasor se autentique como o usuário. A Microsoft atualizou seu boletim para refletir a gravidade da situação, categorizando-o como “Exploração detectada” e implementação de proteção estendida para autenticação (EPA) por padrão com o Exchange Server 2019 Atualização Cumulativa 14 (CU14) liberação.
Embora detalhes específicos sobre a exploração e a identidade dos atores da ameaça permaneçam não divulgados, preocupações foram levantadas sobre o possível envolvimento de grupos de hackers afiliados ao estado, como APT28 (também conhecido como Nevasca Florestal), conhecido por explorar vulnerabilidades no Microsoft Outlook para ataques de retransmissão NTLM.
Esta falha crítica, CVE-2024-21410, agrava as preocupações de segurança existentes após a descoberta de duas outras vulnerabilidades do Windows – CVE-2024-21351 e CVE-2024-21412 – ambas exploradas ativamente em ataques do mundo real. Digno de nota é CVE-2024-21412, que permite contornar as proteções do Windows SmartScreen e foi atribuído a um grupo avançado de ameaças persistentes chamado Water Hydra (também conhecido como DarkCasino).
além disso, A atualização Patch Tuesday da Microsoft aborda CVE-2024-21413, uma falha crítica no software de e-mail Outlook, permitindo a execução remota de código, contornando medidas de segurança como o Protected View. Denominado MonikerLink por pesquisadores de segurança cibernética, esta vulnerabilidade expõe os usuários a vários riscos, incluindo vazamento de credenciais NTLM locais e possível execução remota de código.
Dada a gravidade destas vulnerabilidades e a sua exploração em estado selvagem, A Microsoft incentiva os usuários a aplicarem imediatamente as atualizações de segurança mais recentes para proteger seus sistemas e dados contra possíveis ameaças cibernéticas.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: