Microsoft anunció que se había explotado una falla de seguridad recientemente revelada solo un día después de publicar correcciones para la vulnerabilidad. CVE-2024-21410, una vulnerabilidad de Exchange Server, con una puntuación CVSS de 9,8, permite a los actores de amenazas escalar los privilegios del Exchange Server afectado. Lea este Aviso sobre amenazas a la ciberseguridad para saber si está en riesgo y cómo minimizarlo.
¿Cuál es la amenaza?
CVE-2024-21410 puede permitir que actores de amenazas remotos no autenticados escale privilegios en New Technology LAN Manager (NTLM) y ejecute ataques de retransmisión dirigidos a versiones vulnerables de Microsoft Exchange Server. Los actores de amenazas pueden obligar a un dispositivo de red, como un servidor o un controlador de dominio, a autenticarse contra un relé NTLM bajo su control para hacerse pasar por los dispositivos objetivo y elevar sus privilegios.
¿Por qué es digno de mención?
Si bien los detalles específicos sobre la explotación y la identidad de los actores de amenazas detrás de ella no se han revelado actualmente, vale la pena señalar la asociación histórica con grupos de hackers como APT28. Estos grupos tienen un historial de explotación de vulnerabilidades en Microsoft Outlook, particularmente para organizar ataques de retransmisión NTLM. Recientemente, se han relacionado con ataques de retransmisión NTLM dirigidos a entidades de alto valor desde al menos abril de 2022. Estos ataques se han centrado en organizaciones que abarcan asuntos exteriores, energía, defensa, transporte, trabajo, bienestar social, finanzas, paternidad y ciudades locales. concejos.
¿Cuál es la exposición o riesgo?
Esta falla presenta una oportunidad para que los atacantes realicen ataques de fuga de credenciales contra clientes NTLM como Outlook. Microsoft advierte que las credenciales filtradas pueden transmitirse a un servidor Exchange. Una explotación exitosa puede llevar al atacante a asumir los privilegios del cliente víctima y ejecutar operaciones en el servidor Exchange.
¿Cuáles son las recomendaciones?
Se recomienda las siguientes acciones para mitigar el impacto de CVE-2024-21410:
- Implemente la actualización acumulativa 14 (CU14) de Exchange Server 2019, que incluye protección de retransmisión de credenciales NTLM para reducir los riesgos de esta vulnerabilidad.
- Utilice el script de PowerShell ExchangeExtendedProtectionManagement para versiones anteriores a Exchange Server 2019 para activar la protección extendida (EP).
- Revise la documentación EP de Microsoft para identificar y abordar cualquier problema potencial. Realizar evaluaciones exhaustivas del entorno antes de habilitar la EP.
Referencias:
Para obtener información más detallada sobre las recomendaciones, visite los siguientes enlaces:
- Microsoft: New critical Exchange bug exploited as zero-day (bleepingcomputer.com)
- Microsoft Exchange Server Flaw Exploited as a Zero-Day Bug (darkreading.com)
- Critical Exchange Server Flaw (CVE-2024-21410) Under Active Exploitation (thehackernews.com)
Recomendamos ampliamente el uso de nuestras soluciones administradas XDR.
Si requieres más información no dudes en contactarnos
www.cobranetworks.lat - ventas@cobranetworks.lat - +52(55) 5599-0691