Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
In un nuovo aggiornamento di sicurezza, Microsoft ha avvertito di una vulnerabilità critica in Exchange Server. Tale bug di sicurezza è stato sfruttato come 0day prima dell’uscita dell Patch Tuesday di febbraio.
Si tratta del CVE-2024-21410 (punteggio CVSS: 9,8, “Microsoft Exchange Server Elevation of Privilege Vulnerability”) il quale consente ad un utente malintenzionato remoto non autenticato di aumentare i propri privilegi negli attacchi NTLM Relay su versioni vulnerabili di Microsoft Exchange Server.
In tali attacchi, l’aggressore forza un dispositivo di rete (inclusi server o controller di dominio) ad autenticarsi su un server di inoltro NTLM. Tale server risulta sotto il suo controllo per impersonare i dispositivi di destinazione e aumentare i privilegi.
Come spiega Microsoft, un hacker potrebbe prendere di mira il client NTLM, Outlook, sfruttando una vulnerabilità che fa trapelare le credenziali NTLM. Le credenziali esposte possono quindi essere reindirizzate sul server Exchange per ottenere i privilegi come client vittima. A questo punto è possibile eseguire operazioni sul server Exchange per conto della vittima stessa.
Per proteggersi da tali attacchi, Microsoft ha introdotto la protezione estesa per l’autenticazione (EPA), resa disponibile con l’aggiornamento cumulativo 14 (CU14) per Exchange Server 2019.
L’opzione EPA è progettata per rafforzare la funzionalità di autenticazione di Windows Server mitigando attacchi come NTLM e Attacchi Relay e MitM (Man-in-the-Middle). Microsoft ha inoltre annunciato che l’EPA verrà abilitato automaticamente per impostazione predefinita su tutti i server Exchange dopo l’installazione dell’aggiornamento CU14.
Gli amministratori possono utilizzare lo script ExchangeExtendedProtectionManagement in PowerShell per abilitare EPA sulle versioni precedenti di Exchange Server per proteggersi dagli attacchi che coinvolgono CVE-2024-21410.
