Do 97.000 Microsoft Exchange servera može biti ranjivo na eskalaciju privilegija kritične ozbiljnosti praćene kao CVE-2024-21410 koju hakeri aktivno iskorištavaju.
Microsoft se pozabavio ovim problemom 13. februara, kada je već bio iskorišten kao nulti dan. Trenutno je 28.500 servera identifikovano kao ranjivo.
Exchange Server se široko koristi u poslovnim okruženjima za olakšavanje komunikacije i saradnje među korisnicima, pružajući usluge e-pošte, kalendara, upravljanja kontaktima i upravljanja zadacima.
Sigurnosni problem omogućava udaljenim hakerima bez autentifikacije da izvode NTLM relejne napade na Microsoft Exchange servere i eskaliraju svoje privilegije na sistemu.
Danas je servis za praćenje prijetnji Shadowserver objavio da su njegovi skeneri identifikovali približno 97.000 potencijalno ranjivih servera.
Od ukupno 97.000, ranjivo stanje za oko 68.500 servera zavisi od toga da li su administratori primjenili ublažavanja, dok je za 28.500 potvrđeno da je ranjivo na CVE-2024-21410.
Zemlje koje su najviše pogođene su Njemačka (22.903 slučaja), Sjedinjene Države (19.434), Ujedinjeno Kraljevstvo (3.665), Francuska (3.074), Austrija (2.987), Rusija (2.771), Kanada (2.554) i Švicarska (2.119) .
Trenutno ne postoji javno dostupan proof-of-concept (PoC) exploit za CVE-2024-21410, što donekle ograničava broj napadača koji koriste nedostatak u napadima.
Da bi se pozabavili CVE-2024-21410, administratorima sistema se preporučuje da primjene Exchange Server 2019 kumulativnu ispravku 14 (CU14) objavljenu tokom februarske Patch Tuesday, koja omogućava relejnu zaštitu NTLM akreditiva.
Američka agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA) je takođe dodala CVE-2024-21410 u svoj katalog ‘Poznatih eksploatisanih ranjivosti’, dajući federalnim agencijama rok do 7. marta 2024. da primjene dostupna ažuriranja/ublažavanja ili prestanu koristiti proizvod.
Iskorišćavanje CVE-2024-21410 može imati ozbiljne posljedice za organizaciju jer napadači s povišenim dozvolama na Exchange serveru mogu pristupiti povjerljivim podacima kao što je komunikacija putem e-pošte i koristiti server kao rampu za dalje napade na mrežu.
Izvor: BleepingComputer