Microsoft admite una nueva vulnerabilidad crítica de seguridad en Exchange Server CVE-2024-21410 que ha sido explotada activamente en la naturaleza. Según la compañía, el problema afecta al servidor Exchange y puede filtrar las credenciales de NTLM al apuntar a un cliente NTLM como Outlook. La explotación exitosa de la falla permitiría a los atacantes retransmitir el hash Net-NTLMv2 de un usuario que se haya filtrado contra un servidor Exchange susceptible y autenticarse como el usuario.
La identidad de los actores de amenazas que están utilizando la vulnerabilidad se desconoce, aunque grupos de hackeo afiliados al estado ruso, como APT28 (también conocido como Forest Blizzard), han utilizado en el pasado fallas en Microsoft Outlook para llevar a cabo ataques de relé NTLM.
Según Trend Micro, los ataques dirigidos a entidades de alto valor han estado en curso desde al menos abril de 2022. Microsoft ha lanzado parches para CVE-2024-21351 y CVE-2024-21412, que también se han visto en ataques reales. Water Hydra (también conocido como DarkCasino) se ha atribuido la explotación de CVE-2024-21412, que permite la omisión de las protecciones de Windows SmartScreen. Además, CVE-2024-21413, otra debilidad crítica en el software de correo electrónico Outlook, también ha sido solucionada en la actualización de Patch Tuesday de Microsoft. Check Point lo ha denominado MonikerLink y permite la ejecución remota de código al burlar medidas de seguridad como la Vista Protegida.
Estas vulnerabilidades críticas deben ser parcheadas inmediatamente para evitar posibles ataques y proteger la seguridad de los sistemas. Además, se recomienda emplear medidas de seguridad adicionales, como autenticación multifactor y monitoreo constante de actividad sospechosa en la red.
Vía The Hacker News
