CSIRT Panam\u00e1 Aviso 2024-Feb-21 Vulnerabilidad de elevaci\u00f3n de privilegios de Microsoft Exchange Server<\/p>\n\n\n\n
Gravedad: Alta
Fecha de publicaci\u00f3n: Febrero 13, 2024
\u00daltima revisi\u00f3n: Febrero 15, 2024
https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2024-21410
Sistemas Afectados:
Microsoft Exchange 2019 versiones anteriores al 13 de Febrero.<\/p>\n\n\n\n
I. Descripci\u00f3n
A la fecha hay muchos servidores Microsoft Exchange que son vulnerables a una falla de escalamiento de privilegios de gravedad cr\u00edtica rastreada como CVE-2024-21410 y que los delincuentes inform\u00e1ticos est\u00e1n explotando activamente.
Microsoft abord\u00f3 el problema el 13 de febrero, cuando ya se hab\u00eda aprovechado como Zero-Day.<\/p>\n\n\n\n
II. Detalles
\u00bfC\u00f3mo podr\u00eda un atacante aprovechar esta vulnerabilidad?<\/p>\n\n\n\n
Un atacante podr\u00eda apuntar a un cliente NTLM como Outlook con una vulnerabilidad de tipo de filtraci\u00f3n de credenciales NTLM. Las credenciales filtradas luego pueden ser retransmitidas contra el servidor de Exchange para obtener privilegios como el cliente v\u00edctima y realizar operaciones en el servidor de Exchange en nombre de la v\u00edctima.<\/p>\n\n\n\n
III. Referencia a soluciones, herramientas e informaci\u00f3n<\/p>\n\n\n\n
\u00bfD\u00f3nde puedo encontrar m\u00e1s informaci\u00f3n sobre los ataques de retransmisi\u00f3n NTLM?<\/p>\n\n\n\n
Descargue la Mitigaci\u00f3n de los Ataques de “Pass the Hash” (PtH) y Otros Robos de Credenciales, Versi\u00f3n 1 y 2. Este documento discute los ataques de “Pass-the-Hash” (PtH) contra los sistemas operativos Windows y proporciona estrategias de planificaci\u00f3n hol\u00edsticas que, combinadas con las caracter\u00edsticas de seguridad de Windows, ofrecer\u00e1n una defensa m\u00e1s efectiva contra los ataques de “pass-the-hash”.
https:\/\/www.microsoft.com\/en-us\/download\/details.aspx?id=36036<\/p>\n\n\n\n
Para obtener m\u00e1s informaci\u00f3n sobre el soporte del Servidor de Exchange para la Protecci\u00f3n Extendida para la Autenticaci\u00f3n (EPA), consulte Configurar la Protecci\u00f3n Extendida de Windows en el Servidor de Exchange.
https:\/\/learn.microsoft.com\/en-us\/exchange\/plan-and-deploy\/post-installation-tasks\/security-best-practices\/exchange-extended-protection?view=exchserver-2019<\/p>\n\n\n\n
\u00bfPor qu\u00e9 se indica que se explota este CVE?<\/p>\n\n\n\n
Este CVE para Exchange Server 2019 Cumulative Update 14 refuerza las mitigaciones anteriores de forma predeterminada. Proporcionamos una mitigaci\u00f3n opcional para ataques de retransmisi\u00f3n NTLM en general en agosto de 2022. Microsoft estaba al tanto de los ataques dirigidos de retransmisi\u00f3n NTLM en 2023. Estos fueron documentados por un CVE de Outlook (CVE-2023-23397). Microsoft recomienda encarecidamente instalar CU14 en Exchange Server 2019 o habilitar Protecci\u00f3n Extendida dentro de su organizaci\u00f3n seg\u00fan Configure la Protecci\u00f3n Extendida de Windows en Exchange Server.<\/p>\n\n\n\n
\u00bfC\u00f3mo puedo protegerme de esta vulnerabilidad?<\/p>\n\n\n\n
Antes de la actualizaci\u00f3n Cumulative Update 14 (CU14) de Exchange Server 2019, Exchange Server no habilitaba las Protecciones de Retransmisi\u00f3n de Credenciales NTLM (llamadas Protecci\u00f3n Extendida para la Autenticaci\u00f3n o EPA) de forma predeterminada. Sin la protecci\u00f3n habilitada, un atacante puede apuntar al Servidor de Exchange para retransmitir credenciales NTLM filtradas desde otros objetivos (por ejemplo, Outlook). Exchange Server 2019 CU14 habilita EPA de forma predeterminada en los servidores de Exchange. Para obtener m\u00e1s informaci\u00f3n sobre esta actualizaci\u00f3n, consulte la \u00faltima publicaci\u00f3n del blog de Exchange.<\/p>\n\n\n\n
Estoy ejecutando Microsoft Exchange Server 2016 Cumulative Update 23. \u00bfC\u00f3mo puedo protegerme de esta vulnerabilidad?<\/p>\n\n\n\n
Microsoft introdujo el soporte para Protecci\u00f3n Extendida como una caracter\u00edstica opcional para Exchange Server 2016 CU23 con la actualizaci\u00f3n de seguridad de agosto de 2022 (versi\u00f3n 15.01.2507.012). Recomendamos encarecidamente descargar la \u00faltima actualizaci\u00f3n de seguridad para Exchange Server 2016 CU23 antes de activar la Protecci\u00f3n Extendida con la ayuda del ExchangeExtendedProtectionManagement.ps1.<\/p>\n\n\n\n
IV. Informaci\u00f3n de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https:\/\/cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124<\/p>\n","protected":false},"excerpt":{"rendered":"
CSIRT Panam\u00e1 Aviso 2024-Feb-21 Vulnerabilidad de elevaci\u00f3n de privilegios de Microsoft Exchange Server Gravedad: AltaFecha de publicaci\u00f3n: Febrero 13, 2024\u00daltima revisi\u00f3n: Febrero 15, 2024https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2024-21410Sistemas Afectados:Microsoft Exchange 2019 versiones anteriores al 13 de Febrero. I. Descripci\u00f3nA…<\/p>\n","protected":false},"author":4,"featured_media":2767,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[],"class_list":["post-3724","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/3724","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3724"}],"version-history":[{"count":1,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/3724\/revisions"}],"predecessor-version":[{"id":3725,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/3724\/revisions\/3725"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/2767"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3724"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3724"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3724"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}