Aviso de Ameaça de Cibersegurança: Exploração ativa de vulnerabilidade da Microsoft

A Microsoft anunciou que uma falha de segurança recentemente divulgada foi explorada apenas um dia após ter lançado correções para a vulnerabilidade. CVE-2024-21410, uma vulnerabilidade do Exchange Server, com uma pontuação CVSS de 9.8, permite que agentes de ameaça escalem privilégios do Exchange Server afetado. Leia este Aviso de Ameaça de Cibersegurança para descobrir se está em risco e como minimizar o seu risco.

Qual é a ameaça?

CVE-2024-21410 pode permitir que atores de ameaça remotos e não autenticados escalem privilégios no New Technology LAN Manager (NTLM) e executem ataques de retransmissão direcionados a versões vulneráveis do Microsoft Exchange Server. Os atores de ameaça podem forçar um dispositivo de rede, como um servidor ou controlador de domínio, a autenticar-se contra um relé NTLM sob seu controlo para falsificar os dispositivos alvo e elevar os seus privilégios.

Por que é digno de nota?

Embora os detalhes específicos sobre a exploração e a identidade dos atores da ameaça por trás dela ainda não tenham sido divulgados, vale a pena notar a associação histórica com grupos de hackers como APT28. Esses grupos têm um histórico de exploração de vulnerabilidades no Microsoft Outlook, especialmente para realizar ataques de retransmissão NTLM. Recentemente, eles têm sido associados a ataques de retransmissão NTLM que visam entidades de alto valor desde, pelo menos, abril de 2022. Esses ataques têm como alvo organizações que abrangem assuntos estrangeiros, energia, defesa, transporte, trabalho, bem-estar social, finanças, parentalidade e conselhos municipais locais.

Qual é a exposição ou o risco?

Esta falha apresenta uma oportunidade para atacantes realizarem ataques de fuga de credenciais contra clientes NTLM como o Outlook. A Microsoft alerta que as credenciais comprometidas podem ser retransmitidas para um servidor Exchange. A exploração bem-sucedida pode levar o atacante a assumir os privilégios do cliente vítima e executar operações no servidor Exchange.

Quais são as recomendações?

A Barracuda recomenda as seguintes ações para mitigar o impacto do CVE-2024-21410:

• Implemente o Exchange Server 2019 Cumulative Update 14 (CU14), que inclui proteção de relé de credenciais NTLM para reduzir os riscos desta vulnerabilidade.
• Utilize o script PowerShell ExchangeExtendedProtectionManagement para versões anteriores ao Exchange Server 2019 para ativar a proteção alargada (EP).
• Revise a documentação do EP da Microsoft para identificar e resolver quaisquer problemas potenciais. Realize avaliações completas do ambiente antes de ativar o EP.

Referências

Para obter informações mais detalhadas sobre as recomendações, por favor visite os seguintes links:

• Microsoft: Nova falha crítica no Exchange explorada como zero-day (bleepingcomputer.com)
• Falha no Microsoft Exchange Server explorada como uma vulnerabilidade zero-day (darkreading.com)
• Falha crítica no Exchange Server (CVE-2024-21410) sob exploração ativa (thehackernews.com)

Nota: Isto foi originalmente publicado através de SmarterMSP.