Έως και 97.000 διακομιστές
Microsoft
Exchange ενδέχεται να είναι ευάλωτοι σε ένα κρίσιμο ελάττωμα κλιμάκωσης προνομίων σοβαρότητας που παρακολουθείται ως CVE-2024-21410 και το οποίο εκμεταλλεύονται ενεργά οι χάκερ.
Η Microsoft αντιμετώπισε το ζήτημα στις 13 Φεβρουαρίου, όταν είχε ήδη χρησιμοποιηθεί ως μηδενική ημέρα. Επί του παρόντος, 28.500 διακομιστές έχουν αναγνωριστεί ως ευάλωτοι.
Ο Exchange Server χρησιμοποιείται ευρέως σε επιχειρηματικά περιβάλλοντα για τη διευκόλυνση της επικοινωνίας και της συνεργασίας μεταξύ των χρηστών, παρέχοντας υπηρεσίες email, ημερολογίου, διαχείρισης επαφών και διαχείρισης εργασιών.
Το ζήτημα ασφαλείας επιτρέπει σε απομακρυσμένους μη επαληθευμένους φορείς να εκτελούν επιθέσεις αναμετάδοσης NTLM σε διακομιστές Microsoft Exchange και να κλιμακώσουν τα προνόμιά τους στο σύστημα.
Σήμερα, υπηρεσία παρακολούθησης
απε
ιλών
ανακοίνωσε ο Shadowserver
ότι οι σαρωτές της έχουν εντοπίσει περίπου 97.000 δυνητικά ευάλωτους διακομιστές.
Από τους συνολικά 97.000, η ευάλωτη κατάσταση για περίπου 68.500 διακομιστές εξαρτάται από το αν οι διαχειριστές εφάρμοσαν μέτρα μετριασμού, ενώ 28.500 επιβεβαιώθηκε ότι είναι ευάλωτοι στο CVE-2024-21410.
Οι χώρες που επηρεάστηκαν περισσότερο είναι η Γερμανία (22.903 περιπτώσεις), οι Ηνωμένες Πολιτείες (19.434), το
Ηνωμένο Βασίλειο
(3.665), η Γαλλία (3.074), η Αυστρία (2.987), η Ρωσία (2.771), ο Καναδάς (2.554) και η Ελβετία (2.119). .
Χώρες με τον υψηλότερο αριθμό έκθεσης διακομιστή
(Shadowserver)
Επί του παρόντος, δεν υπάρχει δημόσια διαθέσιμη εκμετάλλευση απόδειξης ιδέας (PoC) για το CVE-2024-21410, το οποίο περιορίζει κάπως τον αριθμό των εισβολέων που χρησιμοποιούν το ελάττωμα στις επιθέσεις.
Για την αντιμετώπιση του CVE-2024-21410, συνιστάται στους διαχειριστές συστήματος να εφαρμόσουν την ενημερωμένη έκδοση του Exchange Server 2019 αθροιστική ενημερωμένη έκδοση 14 (CU14) που κυκλοφόρησε κατά τη διάρκεια της Τρίτης ενημέρωσης κώδικα Φεβρουαρίου 2024, η οποία ενεργοποιεί την προστασία αναμετάδοσης διαπιστευτηρίων NTLM.
Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των
ΗΠΑ
(CISA) έχει επίσης
προστέθηκε CVE-2024-21410
στον κατάλογό της «Γνωστές εκμεταλλευόμενες ευπάθειες», δίνοντας στους ομοσπονδιακούς φορείς έως τις 7 Μαρτίου 2024, να εφαρμόσουν τις διαθέσιμες ενημερώσεις/μετριασμούς ή να σταματήσουν τη χρήση του προϊόντος.
Η εκμετάλλευση του CVE-2024-21410 μπορεί να έχει σοβαρές συνέπειες για έναν οργανισμό, επειδή οι εισβολείς με αυξημένα δικαιώματα σε έναν Exchange Server μπορούν να έχουν πρόσβαση σε
εμπ
ιστευτικά δεδομένα όπως η επικοινωνία μέσω email και να χρησιμοποιούν τον διακομιστή ως ράμπα για περαιτέρω επιθέσεις στο δίκτυο.
//platform.twitter.com/widgets.js
VIA:
bleepingcomputer.com
