CSIRT Panamá Aviso 2024-Feb-21 Vulnerabilidad de elevación de privilegios de Microsoft Exchange Server
Gravedad: Alta
Fecha de publicación: Febrero 13, 2024
Última revisión: Febrero 15, 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21410
Sistemas Afectados:
Microsoft Exchange 2019 versiones anteriores al 13 de Febrero.
I. Descripción
A la fecha hay muchos servidores Microsoft Exchange que son vulnerables a una falla de escalamiento de privilegios de gravedad crítica rastreada como CVE-2024-21410 y que los delincuentes informáticos están explotando activamente.
Microsoft abordó el problema el 13 de febrero, cuando ya se había aprovechado como Zero-Day.
II. Detalles
¿Cómo podría un atacante aprovechar esta vulnerabilidad?
Un atacante podría apuntar a un cliente NTLM como Outlook con una vulnerabilidad de tipo de filtración de credenciales NTLM. Las credenciales filtradas luego pueden ser retransmitidas contra el servidor de Exchange para obtener privilegios como el cliente víctima y realizar operaciones en el servidor de Exchange en nombre de la víctima.
III. Referencia a soluciones, herramientas e información
¿Dónde puedo encontrar más información sobre los ataques de retransmisión NTLM?
Descargue la Mitigación de los Ataques de “Pass the Hash” (PtH) y Otros Robos de Credenciales, Versión 1 y 2. Este documento discute los ataques de “Pass-the-Hash” (PtH) contra los sistemas operativos Windows y proporciona estrategias de planificación holísticas que, combinadas con las características de seguridad de Windows, ofrecerán una defensa más efectiva contra los ataques de “pass-the-hash”.
https://www.microsoft.com/en-us/download/details.aspx?id=36036
Para obtener más información sobre el soporte del Servidor de Exchange para la Protección Extendida para la Autenticación (EPA), consulte Configurar la Protección Extendida de Windows en el Servidor de Exchange.
https://learn.microsoft.com/en-us/exchange/plan-and-deploy/post-installation-tasks/security-best-practices/exchange-extended-protection?view=exchserver-2019
¿Por qué se indica que se explota este CVE?
Este CVE para Exchange Server 2019 Cumulative Update 14 refuerza las mitigaciones anteriores de forma predeterminada. Proporcionamos una mitigación opcional para ataques de retransmisión NTLM en general en agosto de 2022. Microsoft estaba al tanto de los ataques dirigidos de retransmisión NTLM en 2023. Estos fueron documentados por un CVE de Outlook (CVE-2023-23397). Microsoft recomienda encarecidamente instalar CU14 en Exchange Server 2019 o habilitar Protección Extendida dentro de su organización según Configure la Protección Extendida de Windows en Exchange Server.
¿Cómo puedo protegerme de esta vulnerabilidad?
Antes de la actualización Cumulative Update 14 (CU14) de Exchange Server 2019, Exchange Server no habilitaba las Protecciones de Retransmisión de Credenciales NTLM (llamadas Protección Extendida para la Autenticación o EPA) de forma predeterminada. Sin la protección habilitada, un atacante puede apuntar al Servidor de Exchange para retransmitir credenciales NTLM filtradas desde otros objetivos (por ejemplo, Outlook). Exchange Server 2019 CU14 habilita EPA de forma predeterminada en los servidores de Exchange. Para obtener más información sobre esta actualización, consulte la última publicación del blog de Exchange.
Estoy ejecutando Microsoft Exchange Server 2016 Cumulative Update 23. ¿Cómo puedo protegerme de esta vulnerabilidad?
Microsoft introdujo el soporte para Protección Extendida como una característica opcional para Exchange Server 2016 CU23 con la actualización de seguridad de agosto de 2022 (versión 15.01.2507.012). Recomendamos encarecidamente descargar la última actualización de seguridad para Exchange Server 2016 CU23 antes de activar la Protección Extendida con la ayuda del ExchangeExtendedProtectionManagement.ps1.
IV. Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124