Microsoft je danas upozorio u ažuriranom bezbjednosnom savjetu da je kritična ranjivost u Exchange Serveru iskorišćena kao nulti dan pre nego što je ispravljena tokom ovomjesečne Patch Tuesday.
Otkriven interno i praćen kao CVE-2024-21410, ovaj sigurnosni propust može dozvoliti udaljenim hakerima bez autentifikacije da eskaliraju privilegije u NTLM relejnim napadima koji ciljaju ranjive verzije Microsoft Exchange Servera.
U takvim napadima, haker prisiljava mrežni uređaj (uključujući servere ili kontrolere domena) da se autentifikuje protiv NTLM relejnog servera pod njihovom kontrolom kako bi se lažno predstavljao za ciljane uređaje i podigao privilegije.
„Napadač bi mogao ciljati NTLM klijenta kao što je Outlook sa tipom ranjivosti koja propušta NTLM akreditive,“ objašnjava Microsoft .
„Procurjeli kredencijali se tada mogu prenijeti na Exchange server da bi se stekle privilegije kao klijent žrtve i da bi se izvršile operacije na Exchange serveru u ime žrtve.
“Napadač koji je uspješno iskoristio ovu ranjivost mogao bi prenijeti korisnikov procurjeli Net-NTLMv2 hash na ranjivi Exchange Server i autentifikovati se kao korisnik.”
Ublažavanje preko Exchange Extended Protection-a
Ažuriranje Exchange Server 2019 kumulativnog ažuriranja 14 (CU14) rješava ovu ranjivost omogućavanjem NTLM akreditiva Relay Protection (poznato i kao proširena zaštita za autentifikaciju ili EPA).
EP je dizajniran da ojača funkcionalnost Windows Server autentifikacije ublažavanjem releja autentikacije i napada čovjeka u sredini (MitM).
Microsoft je danas najavio da će proširena zaštita (EP) biti automatski omogućena prema zadanim postavkama na svim Exchange serverima nakon instaliranja ovomjesečnog H1 kumulativnog ažuriranja za 2024. (aka CU14).
Administratori mogu da koriste ExchangeExtendedProtectionManagement PowerShell skriptu da aktiviraju EP na prethodnim verzijama Exchange Servera, kao što je Exchange Server 2016. Ovo će takođe zaštititi njihove sisteme od napada koji ciljaju uređaje koji nisu zakrpljeni protiv CVE-2024-21410.
Administratorima se savetuje da procjene svoja okruženja i pregledaju probleme pomenute u dokumentaciji skripte PowerShell koju je obezbedio Microsoft ExchangeExtendedProtectionManagement pre nego što uključe EP na svojim Exchange serverima kako bi izbjegli kvar neke funkcionalnosti.
Danas je Microsoft takođe greškom označio kritičnu ranjivost Outlook-ovog daljinskog izvršavanja koda (RCE) (CVE-2024-21413) kao iskorišćenu u napadima prije nego što je ispravljena tokom ovomjesečnog Patch Tuesday-a.
Izvor: BleepingComputer