A Microsoft reconheceu na quarta-feira que uma lapso sátira de segurança recentemente divulgada no Exchange Server foi explorada ativamente, um dia depois de lançar correções para a vulnerabilidade uma vez que secção de suas atualizações do Patch Tuesday.
Rastreado uma vez que CVE-2024-21410 (pontuação CVSS: 9,8), o problema foi descrito uma vez que um caso de escalonamento de privilégios que afeta o Exchange Server.
“Um invasor pode ter uma vez que meta um cliente NTLM, uma vez que o Outlook, com uma vulnerabilidade do tipo vazamento de credenciais NTLM”, disse a empresa em um enviado publicado esta semana.
“As credenciais vazadas podem portanto ser retransmitidas para o servidor Exchange para obter privilégios uma vez que cliente vítima e para realizar operações no servidor Exchange em nome da vítima.”
A exploração bem-sucedida da lapso pode permitir que um invasor retransmita o hash Net-NTLMv2 vazado de um usuário contra um Exchange Server suscetível e se autentique uma vez que o usuário, acrescentou Redmond.
A gigante da tecnologia, em uma atualização de seu boletim, revisou sua Avaliação de Exploração para “Exploração Detectada”, observando que agora habilitou a Proteção Estendida para Autenticação (EPA) por padrão com a atualização Cumulativa 14 (CU14) do Exchange Server 2019.
Detalhes sobre a natureza da exploração e a identidade dos atores da ameaço que podem estar abusando da lapso são atualmente desconhecidos. No entanto, equipes de hackers afiliadas ao Estado russo, uma vez que o APT28 (também sabido uma vez que Forest Blizzard), têm um histórico de exploração de falhas no Microsoft Outlook para realizar ataques de retransmissão NTLM.
No início deste mês, a Trend Micro implicou o contendor em ataques de retransmissão NTLM visando entidades de cumeeira valor, pelo menos desde abril de 2022. As invasões tiveram uma vez que meta organizações que lidam com relações exteriores, vigor, resguardo e transporte, muito uma vez que aquelas envolvidas com trabalho, bem-estar social. , finanças, paternidade e conselhos municipais locais.
CVE-2024-21410 se soma a duas outras falhas do Windows – CVE-2024-21351 (pontuação CVSS: 7,6) e CVE-2024-21412 (pontuação CVSS: 8,1) – que foram corrigidas pela Microsoft esta semana e ativamente transformadas em armas reais. ataques mundiais.
A exploração do CVE-2024-21412, um bug que permite ignorar as proteções do Windows SmartScreen, foi atribuída a uma ameaço persistente avançada chamada Water Hydra (também conhecida uma vez que DarkCasino), que anteriormente aproveitou o dia zero no WinRAR para implantar o trojan DarkMe .
“O grupo usou atalhos de internet disfarçados uma vez que uma imagem JPEG que, quando selecionada pelo usuário, permite que o agente da ameaço explore o CVE-2024-21412”, disse a Trend Micro. “O grupo pode portanto ignorar o Microsoft Tutelar SmartScreen e comprometer totalmente o host do Windows uma vez que secção de sua ergástulo de ataque.”
A atualização Patch Tuesday da Microsoft também aborda CVE-2024-21413, outra lapso sátira que afeta o software de e-mail Outlook que pode resultar na realização remota de código, contornando trivialmente medidas de segurança uma vez que o Protected View.
Com o codinome MonikerLink da Check Point, o problema “permite um impacto vasto e sério, variando desde o vazamento de informações de credenciais NTLM locais até a realização arbitrária de código”.
A vulnerabilidade decorre da estudo incorreta de hiperlinks “file://”, adicionando um ponto de exclamação a URLs que apontam para cargas arbitrárias hospedadas em servidores controlados pelo invasor (por exemplo, “file:///10.10.111.111testtest .rtf!alguma coisa”).
“O bug não só permite o vazamento de informações NTLM locais, mas também pode permitir a realização remota de código e muito mais uma vez que vetor de ataque”, disse a empresa de segurança cibernética. “Ele também pode ignorar o Office Protected View quando usado uma vez que vetor de ataque para atingir outros aplicativos do Office.”
