Η Microsoft προειδοποίησε για μια κρίσιμη ευπάθεια στον Exchange Server που χρησιμοποιήθηκε ως zero-day, πριν επιδιορθωθεί στο Patch Tuesday που κυκλοφόρησε την Τρίτη.
Το σφάλμα ανακαλύφθηκε εσωτερικά και παρακολουθείται ως CVE-2024-21410. Επιτρέπει σε απομακρυσμένους μη επαληθευμένους χρήστες να αποκτήσουν περισσότερα προνόμια για NTLM relay επιθέσεις που στοχεύουν ευάλωτες εκδόσεις του Microsoft Exchange Server.
Σε τέτοιες επιθέσεις, ο επιτιθέμενος αναγκάζει μια συσκευή δικτύου (συμπεριλαμβανομένων των διακομιστών ή των domain controllers) να πραγματοποιήσει έλεγχο ταυτότητας έναντι ενός NTLM relay server που βρίσκεται υπό τον έλεγχό τους, για να μιμηθεί τις στοχευμένες συσκευές και να αυξήσει τα δικαιώματα.
Δείτε επίσης: Microsoft Patch Tuesday Φεβρουαρίου 2024: Διορθώνονται 73 ευπάθειες
“Ένας εισβολέας θα μπορούσε να στοχεύσει έναν NTLM client, όπως το Outlook, με ένα NTLM credentials-leaking type vulnerability“, εξηγεί η Microsoft.
“Τα credentials που διαρρέουν μπορούν στη συνέχεια να αναμεταδοθούν στον Exchange server για την απόκτηση δικαιωμάτων ως victim client και την εκτέλεση λειτουργιών στον Exchange server για λογαριασμό του θύματος“.
Η επιτυχημένη εκμετάλλευση της ευπάθειας θα μπορούσε να αναμεταδώσει το Net-NTLMv2 hash ενός χρήστη σε έναν ευάλωτο Exchange Server για έλεγχο της ταυτότητας του χρήστη.
Επομένως, η εκμετάλλευση της ευπάθειας CVE-2024-21410 μπορεί να οδηγήσει σε αυξημένο κίνδυνο για την ασφάλεια των δεδομένων. Οι παράγοντες απειλών μπορούν να παρακάμψουν τα μέτρα ασφαλείας και να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες.
Επιπλέον, η εκμετάλλευση αυτής της ευπάθειας θα μπορούσε ενδεχομένως να επιτρέψει στους επιτιθέμενους να επιτεθούν σε άλλα συστήματα που είναι συνδεδεμένα με τον ευάλωτο διακομιστή.
Δείτε επίσης: Zoom: Προειδοποιεί για κρίσιμη ευπάθεια – Κάντε άμεσα update!
Τέλος, η εκμετάλλευση αυτής της ευπάθειας μπορεί να οδηγήσει σε απώλεια της εμπιστοσύνης των πελατών και των εταίρων
, καθώς η παραβίαση της ασφάλειας μπορεί να έχει σοβαρές επιπτώσεις στην εταιρική φήμη και την αξιοπιστία.Exchange Extended Protection
Η ενημερωμένη έκδοση του Exchange Server 2019 (Cumulative Update 14 (CU14) update) αντιμετωπίζει το ζήτημα ασφαλείας ενεργοποιώντας τα NTLM credentials Relay Protections (γνωστό και ως Extended Protection for Authentication ή EPA).
Αυτές οι προστασίες ενισχύουν τη λειτουργικότητα ελέγχου ταυτότητας του Windows Server μετριάζοντας τις authentication relay και man-in-the-middle (MitM) επιθέσεις.
Η Microsoft ανακοίνωσε χθες ότι η Εκτεταμένη Προστασία (Extended Protection-EP) θα ενεργοποιηθεί αυτόματα από προεπιλογή σε όλους τους Exchange servers μετά την εγκατάσταση του 2024 H1 Cumulative Update (aka CU14) αυτού του μήνα.
Δείτε επίσης: Νέες ευπάθειες στις υπηρεσίες Azure HDInsight Spark, Kafka και Hadoop
Οι διαχειριστές μπορούν να χρησιμοποιήσουν το ExchangeExtendedProtectionManagement PowerShell script για να ενεργοποιήσουν το EP σε προηγούμενες εκδόσεις του Exchange Server, ώστε να προστατευτούν από πιθανή εκμετάλλευση της ευπάθειας CVE-2024-21410.
Ωστόσο, πριν από την εναλλαγή EP στους διακομιστές Exchange, οι διαχειριστές θα πρέπει να αξιολογήσουν τα περιβάλλοντά τους και να ελέγξουν τα ζητήματα που αναφέρονται στην έκθεση της Microsoft για το EP toggle script. Ο έλεγχος είναι απαραίτητος για να αποφευχθούν πιθανά προβλήματα λειτουργικότητας.
Πηγή: www.bleepingcomputer.com