En este momento hay hasta 97.000 servidores Microsoft Exchange que podrían ser vulnerables a una falla de escalamiento de privilegios de gravedad crítica rastreada como CVE-2024-21410 y que los delincuentes informáticos están explotando activamente.
Microsoft abordó el problema el 13 de febrero, cuando ya se había aprovechado como Zero-Day. Actualmente, se han identificado 28.500 servidores como vulnerables. La v15.2.1544.04 es la primera versión de esa serie y NO es vulnerable.
NOTA: esta no es la misma vulnerabilidad crítica en Outlook con exploit activo (CVE-2024-21413).
El problema de seguridad permite a actores remotos no autenticados realizar ataques de retransmisión NTLM en servidores Microsoft Exchange y escalar sus privilegios en el sistema.
Del total de 97.000, el estado vulnerable de aproximadamente 68.500 servidores depende de si los administradores aplicaron mitigaciones, mientras que se confirma que 28.500 son vulnerables a CVE-2024-21410. Los países más afectados son Alemania (22.903 casos), Estados Unidos (19.434), Reino Unido (3.665), Francia (3.074), Austria (2.987), Rusia (2.771), Canadá (2.554) y Suiza (2.119).
Actualmente, no hay ningún exploit de prueba de concepto (PoC) disponible públicamente para CVE-2024-21410, lo que limita de alguna manera la cantidad de atacantes que utilizan la falla en los ataques.
Para abordar CVE-2024-21410, se recomienda a los administradores aplicar la actualización acumulativa 14 (CU14) de Exchange Server 2019 publicada durante el martes de parches de febrero de 2024, que habilita las protecciones de retransmisión de credenciales NTLM.
A principios de este mes, Trend Micro implicó a un adversario en ataques de retransmisión NTLM dirigidos a entidades de alto valor al menos desde abril de 2022. Las intrusiones se dirigieron a organizaciones que se ocupan de asuntos exteriores, energía, defensa y transporte, así como a aquellas involucradas con el trabajo y el bienestar social, finanzas, paternidad y ayuntamientos locales.
Microsoft, en una actualización de su boletín, revisó su Evaluación de explotabilidad y señaló que ahora ha habilitado la Protección extendida para la autenticación (EPA) de forma predeterminada con la actualización acumulativa 14 (CU14) de Exchange Server 2019. En todo caso se puede activar manualmente.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) también agregó CVE-2024-21410 a su catálogo de ‘Vulnerabilidades explotadas conocidas’, dando a las agencias federales hasta el 7 de marzo de 2024 para aplicar las actualizaciones/mitigaciones disponibles o dejar de usar el producto.
La explotación de CVE-2024-21410 puede tener graves consecuencias para una organización porque los atacantes con permisos elevados en un servidor Exchange pueden acceder a datos confidenciales, como comunicaciones por correo electrónico, y utilizar el servidor como rampa para futuros ataques a la red.
Fuente y redacción: segu-info.com.ar
