Microsoft Exchange CVE-2024-21410 ranjivost

Microsoft Exchange CVE-2024-21410 ranjivost se aktivno iskorištava, upozorila je kompanija Microsoft. Ranjivost označena kao CVE-2024-21410 (CVSS ocjena 9.8) je opisana kao problem eskalacije privilegija koji omogućava napadačima da izvrše napade prenošenja heša.

Microsoft Exchange CVE-2024-21410 ranjivost; Source: Bing Image Creator

MICROSOFT EXCHANGE RANJIVOST

Prema infromacijma iz kompanije Microsoft, napadač bi mogao da iskoristi grešku da prenese korisnikov Net-NTLMv2 heš protiv ranjivog servera i da se autentifikuje kao taj korisnik.

U Windows mreži, NTLM – New Technology LAN Manager je skup Microsoft bezbjednosnih protokola namijenjenih da korisnicima obezbijede autentifikaciju, integritet i povjerljivost. Mogućnost napadača da se lažno predstavlja kao legitimni korisnik može se pokazati katastrofalnim.

Pošto su Microsoft Exchange serveri, kao i svi serveri elektronske pošte, centralni komunikacioni čvorovi u svakoj organizaciji, kao takvi su veoma privlačni za zlonamjerne aktere. Zbog toga, dobijanje mogućnosti da se izvrši napad “pass-the-hash” gdje napadač krade “heširani” korisnički akreditiv i koristi ga za kreiranje nove korisničke sesije na istoj mreži, predstavlja ravni put u srce mreže organizacije.

“Napadač bi mogao da cilja NTLM  klijenta kao što je Outlook  sa ranjivošću tipa koji propušta NTLM akreditive. Procurjeli akreditivi se zatim mogu prenijeti na Exchange server da bi stekli privilegije kao klijent žrtve i da bi izvršili operacije na Exchange serveru u ime žrtve.”

 – Microsoft –

Osnovni uzrok ranjivosti se krije u tome, što NTLM  Relay Protections ili proširena zaštita za autentifikaciju (eng. Extended Protection for Authentication – EPA) nije podrazumijevano omogućena u Exchange Server 2019.

AŽURIRANJE

Kao dio ažuriranja, kompanija Microsoft je podrazumijevano omogućila proširenu zaštitu za autentifikaciju  sa Exchange Server 2019 ispravkom (CU14). Bez omogućene zaštite, napadač može da cilja Exchange server da prenese procurjele NTLM akreditive sa drugih ciljeva. Korisnici koji koriste  Exchange Server 2019 CU13 ili stariju verziju, a prethodno su pokrenuli skriptu koja omogućava Relay Protections za NTLM akreditive su zaštićeni od ove prijetnje.

Međutim korisnici koji nisu uradili pokretanje skripte, trebalo bi da primjene posljednje dostupno ažuriranje.

ZAKLJUČAK

Otkriće ranjivosti CVE-2024-21410 služi kao dobar podsjetnik na važnost pravovremenih ažuriranja i primjene pozitivnih bezbjednosnih praksi. Sa potencijalom za rasprostranjene poremećaje i kompromitovanje podataka, organizacije širom sveta moraju brzo da djeluju kako bi osigurale svoje sisteme od ove značajne prijetnje.

Iako detalji su detalji  o prirodi eksploatacije i identitetu aktera prijetnje koji bi mogli da zloupotrebljavaju nedostatak trenutno su nepoznati, u prošlosti su ovakve ranjivosti iskorištavali zlonamjerni akteri povezani sa državom. Jedan od njih je i APT28 (poznat i kao Fancy Bear, Strontium, Pawn Storm, Sednit Gang ili Sofacy) koji ima istoriju iskorištavanja nedostataka u Microsoft Outlook softveru za organizovanje NTLM relejnih napada.

ZAŠTITA

Kako bi se umanjio uticaj ove ranjivosti, preporučuju se sljedeće radnje:

• Primjena Exchange Server 2019 Cumulative Update 14 (CU14) ažuriranja koje uključuje zaštitu NTLM akreditiva.
• Koristiti ExchangeExtendedProtectionManagement PowerShell skriptu za Exchange Server verzije starije od 2019. Skriptu je moguće naći na Microsoft stranici ili ovdje.
• Pregledati Microsoft dokumentaciju vezanu za proširenu zaštita za autentifikaciju (EPA) kako bi se identifikovali i riješili potencijalni problemi. Potrebno je uraditi temeljnu procjenu okruženja prije implementacije EPA.