INFENSUS security solutin Microsoft Exchange

Microsoft: Nova kritična pogreška Exchangea iskorištena je kao zero-day

/ Vijesti / By

Microsoft je danas upozorio u ažuriranom sigurnosnom savjetu da je kritična ranjivost u Exchange Serveru iskorištena kao zero-day prije nego što je popravljena tijekom ovog mjeseca Patch Tuesday.

Otkriven interno i praćen kao CVE-2024-21410, ovaj sigurnosni propust može omogućiti udaljenim neautentificiranim akterima prijetnji eskalaciju privilegija u NTLM relejnim napadima koji ciljaju na ranjive verzije Microsoft Exchange Servera.

U takvim napadima akter prijetnje prisiljava mrežni uređaj (uključujući poslužitelje ili kontrolere domene) da se autentificira protiv NTLM relejnog poslužitelja pod njihovom kontrolom kako bi oponašao ciljane uređaje i podigao privilegije.

“Napadač bi mogao ciljati NTLM klijent kao što je Outlook s ranjivošću tipa curenja NTLM vjerodajnica”, objašnjava Microsoft.

“Procurile vjerodajnice se zatim mogu prenijeti na Exchange poslužitelj kako bi se dobile privilegije kao žrtveni klijent i izvršile operacije na Exchange poslužitelju u ime žrtve.

“Napadač koji je uspješno iskoristio ovu ranjivost mogao bi prenijeti korisnikov neotkriveni Net-NTLMv2 hash protiv ranjivog Exchange Servera i autentificirati se kao korisnik.”

Ublažavanje putem Exchange Extended Protection
Ažuriranje Exchange Server 2019 Kumulativno ažuriranje 14 (CU14) objavljeno tijekom veljače 2024. Patch Tuesday rješava ovu ranjivost omogućavanjem NTLM vjerodajnica Relay Protection (također poznato kao Extended Protection for Authentication ili EPA).

EP je osmišljen za jačanje funkcionalnosti autentifikacije sustava Windows Server ublažavanjem releja autentifikacije i napada čovjeka u sredini (MitM).

Microsoft je prvi put predstavio podršku za Exchange Server EP u kolovozu 2022., a godinu dana kasnije najavio je da će EP biti omogućen prema zadanim postavkama na svim Exchange poslužiteljima nakon implementacije CU14.

Danas je tvrtka objavila da će EP biti omogućen prema zadanim postavkama na svim Exchange poslužiteljima nakon instaliranja ovog mjeseca 2024 H1 kumulativnog ažuriranja (aka CU14).

Administratori također mogu koristiti ExchangeExtendedProtectionManagement PowerShell skriptu za aktiviranje EP-a na prethodnim verzijama Exchange Servera, kao što je Exchange Server 2016. To će također zaštititi njihove sustave od napada koji ciljaju uređaje bez zakrpa protiv CVE-2024-21410.

Međutim, prije uključivanja EP-a na svojim Exchange poslužiteljima, administratori bi trebali procijeniti svoje okruženje i pregledati probleme navedene u Microsoftovoj dokumentaciji za EP prebacivanje skripte kako bi se izbjeglo prekidanje funkcionalnosti.

Danas je Microsoft također greškom označio kritičnu ranjivost Outlook daljinskog izvršavanja koda (RCE) (CVE-2024-21413) kao iskorištenu u napadima prije nego što je popravljena tijekom ovog mjeseca Patch Tuesday.

Scroll to Top