Η Microsoft προειδοποίησε σήμερα σε μια ενημερωμένη συμβουλή ασφαλείας ότι μια κρίσιμη ευπάθεια στον Exchange Server έγινε αντικείμενο εκμετάλλευσης ως μηδενική ημέρα πριν επιδιορθωθεί κατά τη διάρκεια της Τρίτης
ενημέρωση
ς κώδικα αυτού του μήνα.
Ανακαλύφθηκε εσωτερικά και παρακολουθήθηκε ως
CVE-2024-21410
αυτό το
ελάττωμα ασφαλείας
μπορεί να επιτρέψει σε απομακρυσμένους μη επαληθευμένους παράγοντες απειλών να κλιμακώσουν τα δικαιώματα σε επιθέσεις αναμετάδοσης
NTLM
που στοχεύουν ευάλωτες εκδόσεις του Microsoft Exchange Server.
Σε τέτοιες επιθέσεις, ο παράγοντας απειλής αναγκάζει μια συσκευή δικτύου (συμπεριλαμβανομένων των διακομιστών ή των ελεγκτών τομέα) να πραγματοποιήσει έλεγχο
ταυτότητα
ς έναντι ενός διακομιστή αναμετάδοσης NTLM που βρίσκεται υπό τον έλεγχό τους για να μιμηθεί τις στοχευμένες συσκευές και να αυξήσει τα δικαιώματα.
“Ένας εισβολέας θα μπορούσε να στοχεύσει έναν πελάτη NTLM, όπως το Outlook, με ευπάθεια τύπου NTLM που διαρρέει διαπιστευτήρια”, η Microsoft
εξηγεί
.
“Τα διαπιστευτήρια που διέρρευσαν μπορούν στη συνέχεια να αναμεταδοθούν στον διακομιστή Exchange για να αποκτήσουν δικαιώματα ως πελάτη-θύμα και να εκτελέσουν λειτουργίες στον διακομιστή Exchange για λογαριασμό του θύματος.
“Ένας εισβολέας που εκμεταλλεύτηκε με επιτυχία αυτήν την ευπάθεια θα μπορούσε να αναμεταδώσει τον κατακερματισμό Net-NTLMv2 που διέρρευσε από έναν χρήστη σε έναν ευάλωτο διακομιστή Exchange και να ελέγξει την ταυτότητα του χρήστη.”
Μετριασμός μέσω Exchange Extended Protection
Η ενημερωμένη έκδοση του Exchange Server 2019 αθροιστική ενημερωμένη έκδοση 14 (CU14) αντιμετωπίζει αυτό το θέμα ευπάθειας ενεργοποιώντας τις προστασίες αναμετάδοσης διαπιστευτηρίων NTLM (γνωστές και ως Εκτεταμένη προστασία για έλεγχο ταυτότητας ή EPA).
Το EP έχει σχεδιαστεί για να ενισχύει τη λειτουργικότητα ελέγχου ταυτότητας του Windows Server μετριάζοντας τις επιθέσεις αναμετάδοσης ελέγχου ταυτότητας και επιθέσεις man-in-the-middle (MitM).
Η Microsoft ανακοίνωσε σήμερα ότι η Εκτεταμένη Προστασία (EP) θα ενεργοποιηθεί αυτόματα από προεπιλογή σε όλους τους διακομιστές του Exchange μετά την εγκατάσταση της αθροιστικής ενημέρωσης
2024
H1 αυτού του μήνα (γνωστή και ως CU14).
Οι διαχειριστές μπορούν να χρησιμοποιήσουν το
ExchangeExtendedProtectionManagement
Σενάριο PowerShell για ενεργοποίηση EP σε προηγούμενες εκδόσεις του Exchange Server, όπως ο Exchange Server 2016. Αυτό θα προστατεύσει επίσης τα συστήματά τους από επιθέσεις που στοχεύουν συσκευές που δεν έχουν επιδιορθωθεί στο CVE-2024-21410.
Ωστόσο, πριν από την εναλλαγή EP στους διακομιστές Exchange, οι διαχειριστές θα πρέπει να αξιολογήσουν τα περιβάλλοντά τους και να ελέγξουν τα ζητήματα που αναφέρονται στην τεκμηρίωση της Microsoft για το σενάριο εναλλαγής EP για να αποφευχθεί η παραβίαση της λειτουργικότητας.
Συνιστάται στους διαχειριστές να αξιολογούν το περιβάλλον τους και να ελέγχουν τα ζητήματα που αναφέρονται στην τεκμηρίωση του παρεχόμενου από τη Microsoft
ExchangeExtendedProtectionManagement
Σενάριο PowerShell πριν από την εναλλαγή του EP στους διακομιστές Exchange για να αποφευχθεί η διακοπή λειτουργίας ορισμένων λειτουργιών.
Σήμερα, η Microsoft επισήμανε επίσης κατά λάθος μια κρίσιμη ευπάθεια εκτέλεσης απομακρυσμένου κώδικα (RCE) του Outlook (CVE-2024-21413) ως εκμετάλλευση σε επιθέσεις πριν επιδιορθωθεί κατά τη διάρκεια της Τρίτης ενημέρωσης κώδικα αυτού του μήνα.
VIA:
bleepingcomputer.com
