Vulnerabilità Critica del Server Exchange (CVE-2024-21410) Sfruttata Attivamente
Nell’ambito delle recenti patch di sicurezza rilasciate da Microsoft in occasione del Patch Tuesday, è emersa una vulnerabilità critica del Server Exchange, identificata come CVE-2024-21410, attivamente sfruttata nel mondo reale. La compagnia ha ufficialmente riconosciuto l’attività di exploit di questa falla poco dopo aver rilasciato i correttivi necessari.
Descritta come un caso di escalation dei privilegi che colpisce il Server Exchange, la vulnerabilità offre agli attaccanti la possibilità di prendere di mira un cliente NTLM come Outlook con una vulnerabilità di tipo rivelatore di credenziali NTLM.
Secondo quanto riportato dall’azienda stessa in un avviso pubblicato questa settimana, “le credenziali trapelate possono quindi essere trasmesse al server Exchange per ottenere privilegi come il cliente vittima e per eseguire operazioni sul server Exchange per conto della vittima.”
L’exploit riuscito di questa falla potrebbe consentire a un aggressore di trasmettere l’hash Net-NTLMv2 di un utente a un Server Exchange vulnerabile e autenticarsi come l’utente stesso, ha aggiunto Redmond.
Per affrontare questa minaccia, Microsoft ha rivisto la propria valutazione della sfruttabilità, passando da “Sfruttamento Possibile” a “Sfruttamento Rilevato”. È stata inoltre abilitata di default la Protezione Estesa per l’Autenticazione (EPA) con l’aggiornamento Cumulativo 14 (CU14) del Server Exchange 2019.
Al momento, i dettagli sull’identità degli attori minacciosi che potrebbero sfruttare questa vulnerabilità rimangono sconosciuti. Tuttavia, gruppi hacker affiliati allo stato russo come APT28 (noto anche come Forest Blizzard) hanno una storia di sfruttamento delle vulnerabilità in Microsoft Outlook per lanciare attacchi di relay NTLM.
La vulnerabilità CVE-2024-21410 si aggiunge ad altre due fallacritiche di Windows – CVE-2024-21351 e CVE-2024-21412 – che sono state risolte da Microsoft questa settimana e attivamente sfruttate in attacchi reali.
L’exploit di CVE-2024-21412, che consente di bypassare le protezioni di Windows SmartScreen, è stato attribuito a una minaccia persistente avanzata denominata Water Hydra (noto anche come DarkCasino).
L’aggiornamento Patch Tuesday di Microsoft affronta anche CVE-2024-21413, un’altra grave falla che colpisce il software di posta elettronica Outlook e che potrebbe causare l’esecuzione remota di codice. Questa vulnerabilità, denominata MonikerLink da Check Point, consente un’ampia e grave esposizione.
La vulnerabilità critica CVE-2024-21410 riguarda Microsoft Exchange Server e si tratta di una vulnerabilità di elevazione dei privilegi.
Questa specifica vulnerabilità affetta le versioni di Microsoft Exchange Server a partire dalla versione 2019 Cumulative Update 13, con versioni comprese tra 15.02.0 e prima di 15.2.1544.004. Le informazioni dettagliate su questa vulnerabilità sono ancora preliminari e potrebbero cambiare dopo un’analisi completa del CVE
Non sono stati trovati dettagli direttamente collegati all’attiva sfruttamento di questa vulnerabilità nei risultati forniti, inclusa l’assenza di informazioni specifiche sulla natura dell’exploit o sugli attacchi osservati.
Di solito, le vulnerabilità di elevazione dei privilegi come questa possono consentire ad un attaccante di ottenere privilegi più elevati all’interno del sistema compromesso, potenzialmente consentendo ulteriori azioni malevole come l’accesso a dati sensibili, l’installazione di malware o la manipolazione di configurazioni di sistema.
Per la protezione contro tali vulnerabilità, è essenziale applicare tempestivamente gli aggiornamenti di sicurezza rilasciati dai fornitori e seguire le migliori pratiche di sicurezza come la minima concessione dei privilegi e il monitoraggio attivo dei sistemi per segni di attività sospetta.
Poiché le informazioni disponibili al momento sono limitate, è consigliato consultare direttamente le fonti ufficiali come il Microsoft Security Response Center (MSRC) o il blog del team di Exchange per gli ultimi aggiornamenti e raccomandazioni di sicurezza riguardanti questa vulnerabilità.
La sicurezza informatica è divenuta una priorità assoluta nel panorama digitale, con le aziende e gli utenti che devono restare costantemente vigili e adottare le misure di protezione più aggiornate per proteggere le proprie infrastrutture e i propri dati sensibili.