Bl0ckch41nnewsMás de 28.500 servidores Exchange vulnerables a un error explotado activamente (CVE-2024-21410)
En este momento hay
hasta 97.000 servidores Microsoft Exchange que podrían ser vulnerables
a una falla de escalamiento de privilegios de gravedad crítica rastreada como
CVE-2024-21410 y que los delincuentes informáticos están explotando
activamente.
Microsoft
abordó el problema el 13 de febrero, cuando ya se había aprovechado como Zero-Day. Actualmente, se han
identificado 28.500 servidores como vulnerables. La v15.2.1544.04 es la primera versión de esa serie y NO es vulnerable.
NOTA: esta no es la misma vulnerabilidad crítica en Outlook con
exploit activo (CVE-2024-21413).
ataques de retransmisión NTLM en servidores Microsoft Exchange y escalar sus
privilegios en el sistema.
Del total de 97.000, el estado vulnerable de aproximadamente 68.500 servidores
depende de si los administradores aplicaron mitigaciones, mientras que se
confirma que 28.500 son vulnerables a CVE-2024-21410. Los países más afectados
son Alemania (22.903 casos), Estados Unidos (19.434), Reino Unido (3.665),
Francia (3.074), Austria (2.987), Rusia (2.771), Canadá (2.554) y Suiza
(2.119).
Actualmente, no hay ningún exploit de prueba de concepto (PoC)
disponible públicamente para CVE-2024-21410, lo que limita de alguna manera la
cantidad de atacantes que utilizan la falla en los ataques.
Para abordar CVE-2024-21410, se recomienda a los administradores aplicar la
actualización acumulativa 14 (CU14) de Exchange Server 2019 publicada durante
el martes de parches de febrero de 2024, que habilita las protecciones de
retransmisión de credenciales NTLM.
A principios de este mes, Trend Micro implicó a un adversario en ataques de retransmisión NTLM dirigidos a entidades de alto valor al menos desde abril de 2022. Las intrusiones se dirigieron a organizaciones que se ocupan de asuntos exteriores, energía, defensa y transporte, así como a aquellas involucradas con el trabajo y el bienestar social, finanzas, paternidad y ayuntamientos locales.
Microsoft, en una actualización de su boletín, revisó su Evaluación de explotabilidad y señaló que ahora ha habilitado la Protección extendida para la autenticación (EPA) de forma predeterminada con la actualización acumulativa 14 (CU14) de Exchange Server 2019. En todo caso se puede activar manualmente.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA)
también
agregó CVE-2024-21410 a su catálogo de ‘Vulnerabilidades explotadas
conocidas’, dando a las agencias federales hasta el 7 de marzo de 2024 para aplicar las
actualizaciones/mitigaciones disponibles o dejar de usar el producto.
La explotación de CVE-2024-21410 puede tener graves consecuencias para una
organización porque los atacantes con permisos elevados en un servidor
Exchange pueden acceder a datos confidenciales, como comunicaciones por correo
electrónico, y utilizar el servidor como rampa para futuros ataques a la red.
Fuente:
BC
Los comentarios están cerrados.