Na quarta-feira, a Microsoft reconheceu que uma falha de segurança crítica recém-divulgada no Exchange Server tem sido explorada ativamente, um dia após lançar correções para a vulnerabilidade como parte de suas atualizações de terça-feira de patch.
Rastreado como
CVE-2024-21410
(pontuação CVSS: 9.8), o problema foi descrito como um caso de escalonamento de privilégio impactando o Exchange Server.
"Um invasor poderia mirar um cliente NTLM como o Outlook com uma vulnerabilidade do tipo vazamento de credenciais NTLM", disse a empresa em um comunicado publicado nesta semana.
"As credenciais vazadas podem então ser transmitidas contra o servidor Exchange para ganhar privilégios como o cliente vítima e para realizar operações no servidor Exchange em nome da vítima."
A exploração bem-sucedida da falha pode permitir que um invasor transmita o hash Net-NTLMv2 vazado de um usuário contra um servidor Exchange suscetível e se autentique como o usuário, acrescentou Redmond.
A gigante da tecnologia, em uma atualização de seu boletim, revisou sua Avaliação de Explorabilidade para "Exploração Detectada", observando que agora habilitou a Proteção Estendida para Autenticação (EPA) por padrão com a Atualização Cumulativa 14 (CU14) do Exchange Server 2019.
Detalhes sobre a natureza da exploração e a identidade dos atores de ameaça que podem estar abusando da falha são atualmente desconhecidos.
No entanto, as equipes de hackers afiliadas ao estado russo, como APT28 (também conhecido como Forest Blizzard), têm um histórico de exploração de falhas no Microsoft Outlook para realizar ataques de retransmissão NTLM.
No início deste mês, a Trend Micro implicou o adversário em ataques de retransmissão NTLM visando entidades de alto valor pelo menos desde abril de 2022.
As invasões visaram organizações que lidam com assuntos estrangeiros, energia, defesa e transporte, bem como aqueles envolvidos com trabalho, bem-estar social, finanças, paternidade e conselhos municipais locais.
O
CVE-2024-21410
soma-se a outras duas falhas do Windows –
CVE-2024-21351
(pontuação CVSS: 7.6) e
CVE-2024-21412
(pontuação CVSS: 8.1) – que foram corrigidas pela Microsoft esta semana e ativamente usadas em ataques reais.
A exploração do
CVE-2024-21412
, um bug que permite uma evasão das proteções do Windows SmartScreen, foi atribuída a uma ameaça persistente avançada apelidada de Water Hydra (também conhecida como DarkCasino), que anteriormente explorou zero-days no WinRAR para implantar o trojan DarkMe.
"O grupo usou atalhos de internet disfarçados de imagem JPEG que, quando selecionados pelo usuário, permitem que o ator de ameaças explore o
CVE-2024-21412
", disse a Trend Micro.
"O grupo pode então ignorar o Microsoft Defender SmartScreen e comprometer totalmente o host do Windows como parte de sua cadeia de ataque."
A atualização de terça-feira de patch da Microsoft também aborda o
CVE-2024-21413
, outra falha crítica que afeta o software de e-mail Outlook que poderia resultar na execução de código remoto ao contornar facilmente medidas de segurança como a Visualização Protegida.
Apelidado de MonikerLink pelo Check Point, o problema "permite um impacto amplo e sério, variando do vazamento de informações de credencial NTLM local à execução de código arbitrário".
A vulnerabilidade vem da análise incorreta de hiperlinks "file://" ao adicionar um ponto de exclamação a URLs que apontam para payloads arbitrárias hospedadas em servidores controlados pelo invasor (por exemplo, "file:///\\10.10.111.111\test\test.rtf!algo").
"O bug não só permite o vazamento das informações NTLM locais, mas também pode permitir a execução de código remoto e mais como vetor de ataque", disse a empresa de cibersegurança.
"Ele também pode contornar o modo de exibição protegida do Office quando usado como vetor de ataque para mirar outras aplicações do Office."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...