Microsoft reconoció el miércoles que una falla de seguridad crítica recientemente revelada en Exchange Server ha sido explotada activamente en la naturaleza, un día después de que publicó correcciones para la vulnerabilidad como parte de sus actualizaciones del martes de parches .
Registrado como CVE-2024-21410 (puntuación CVSS: 9,8), el problema se ha descrito como un caso de escalada de privilegios que afecta a Exchange Server.
«Un atacante podría apuntar a un cliente NTLM como Outlook con una vulnerabilidad de tipo de fuga de credenciales NTLM», dijo la compañía en un aviso publicado esta semana.
«Las credenciales filtradas pueden luego transmitirse al servidor Exchange para obtener privilegios como cliente víctima y realizar operaciones en el servidor Exchange en nombre de la víctima».
La explotación exitosa de la falla podría permitir a un atacante transmitir el hash Net-NTLMv2 filtrado de un usuario contra un servidor Exchange susceptible y autenticarse como usuario, agregó Redmond.
El gigante tecnológico, en una actualización de su boletín, revisó su Evaluación de explotabilidad a «Explotación detectada», y señaló que ahora ha habilitado la Protección extendida para la autenticación ( EPA ) de forma predeterminada con la actualización acumulativa 14 (CU14) de Exchange Server 2019.
Actualmente se desconocen los detalles sobre la naturaleza de la explotación y la identidad de los actores de amenazas que pueden estar abusando de la falla. Sin embargo, los equipos de piratería afiliados al estado ruso, como APT28 (también conocido como Forest Blizzard), tienen un historial de explotación de fallas en Microsoft Outlook para organizar ataques de retransmisión NTLM.
A principios de este mes, Trend Micro implicó al adversario en ataques de retransmisión NTLM dirigidos a entidades de alto valor al menos desde abril de 2022. Las intrusiones se dirigieron a organizaciones que se ocupan de asuntos exteriores, energía, defensa y transporte, así como a aquellas involucradas con el trabajo y el bienestar social. , finanzas, paternidad y ayuntamientos locales.
CVE-2024-21410 se suma a otras dos fallas de Windows: CVE-2024-21351 (puntuación CVSS: 7,6) y CVE-2024-21412 (puntuación CVSS: 8,1), que Microsoft parchó esta semana y se ha convertido en un arma activa en la realidad. ataques mundiales.La explotación de CVE-2024-21412, un error que permite eludir las protecciones de Windows SmartScreen, se ha atribuido a una amenaza persistente avanzada denominada Water Hydra (también conocida como DarkCasino), que anteriormente aprovechó los días cero en WinRAR para implementar el troyano DarkMe. . «El grupo utilizó accesos directos a Internet disfrazados de una imagen JPEG que, cuando el usuario los selecciona, permite al actor de amenazas explotar CVE-2024-21412», dijo Trend Micro. «El grupo puede entonces eludir Microsoft Defender SmartScreen y comprometer completamente el host de Windows como parte de su cadena de ataque».
La actualización Patch Tuesday de Microsoft también aborda CVE-2024-21413, otra deficiencia crítica que afecta al software de correo electrónico Outlook y que podría resultar en la ejecución remota de código al eludir trivialmente medidas de seguridad como la Vista Protegida.
El problema, cuyo nombre en clave es MonikerLink de Check Point, «permite un impacto amplio y grave, que va desde la filtración de información de credenciales NTLM locales hasta la ejecución de código arbitrario».
La vulnerabilidad surge del análisis incorrecto de los hipervínculos «file://», lo que permite lograr la ejecución del código agregando un signo de exclamación a las URL que apuntan a cargas útiles arbitrarias alojadas en servidores controlados por el atacante (por ejemplo, «file:/// \10.10.111.111\test\test.rtf!algo»).
«El error no sólo permite la filtración de información NTLM local, sino que también puede permitir la ejecución remota de código y más como vector de ataque», dijo la firma de ciberseguridad . «También podría eludir la Vista protegida de Office cuando se utiliza como vector de ataque para atacar otras aplicaciones de Office».
Fuente y redacción: thehackernews.com
