Microsoft ha reportado una vulnerabilidad crítica en las instancias de Microsoft Exchange Server identificada como CVE-2024-21410, la cual, según investigaciones realizadas por la entidad, está siendo explotada in-the-wild. Este fallo de seguridad permite a los atacantes realizar una escalada de privilegios a través de ataques de retransmisión NTLM, afectando a sistemas no parcheados. La vulnerabilidad ha sido clasificada con una severidad alta debido a su capacidad para permitir a los atacantes acceder de forma remota y no autenticada. Microsoft ha solicitado a los administradores a aplicar las correcciones proporcionadas para mitigar el riesgo.
La vulnerabilidad CVE-2024-21410 en Microsoft Exchange Server, destacada por su gravedad con una puntuación CVSS de 9.8, representa un riesgo significativo para las organizaciones. Este fallo crítico subraya la necesidad de una vigilancia constante y actualizaciones de seguridad proactivas para proteger contra actores de amenazas que buscan explotar vulnerabilidades emergentes en sistemas críticos.
Acerca de la vulnerabilidad
Identificada como CVE-2024-21410, esta vulnerabilidad de Microsoft Exchange Server, de severidad crítica, habilita a los atacantes para realizar una escalada de privilegios mediante técnicas de retransmisión NTLM. La explotación de este defecto, que permite accesos remotos sin autenticación, representa una amenaza considerable para la seguridad de las instancias Exchange.
El error no sólo permite la filtración de información NTLM local, sino que también puede permitir la ejecución remota de código y más como vector de ataque», menciona la Oficina Federal Alemana de Seguridad de la Información (BSI). «También podría eludir la Vista protegida de Office cuando se utiliza como vector de ataque para atacar otras aplicaciones de Office».
En tales ataques, el actor de la amenaza obliga a un dispositivo de red (incluidos servidores o controladores de dominio) a autenticarse en un servidor de retransmisión NTLM bajo su control para hacerse pasar por los dispositivos objetivo y elevar los privilegios.
Cómo opera el ataque: Analisis tecnico
El atacante explota la vulnerabilidad CVE-2024-21410 en Microsoft Exchange Server mediante ataques de retransmisión NTLM. Este método aprovecha fallos en la seguridad para obtener control elevado sobre los sistemas afectados.
La vulnerabilidad surge del análisis incorrecto de los hipervínculos «file://», lo que permite lograr la ejecución del código agregando un signo de exclamación a las URL que apuntan a cargas útiles arbitrarias alojadas en servidores controlados por el atacante (por ejemplo, «file:/// \10.10.111.111\test\test.rtf!algo»).
Acciones a tomar
La actualización acumulativa 14 (CU14) de Exchange Server 2019 lanzada durante los primeros días de febrero de 2024 aborda esta vulnerabilidad al habilitar las protecciones de retransmisión de credenciales NTLM (también conocidas como protección extendida para autenticación o EPA).
Mike Walters, presidente y CEO de la entidad de ciberseguridad Action1, afirma que las organizaciones que utilicen versiones de Exchange Server 2019 anteriores a CU14 tendrán que asegurarse de haber activado EPA junto con la instalación de la última actualización acumulativa. Según él, «los administradores también pueden utilizar el script PowerShell ExchangeExtendedProtectionManagement para activar EPA en versiones anteriores de Exchange Server, como Server 2016, que también protegerá los sistemas de ataques dirigidos a dispositivos a los que les faltan los parches CVE-2024-21410.»
Sin embargo, antes de activar EP en servidores Exchange, los administradores deben evaluar su entorno y revisar los problemas que Microsoft ha identificado en su documentación sobre EP para evitar interrumpir la funcionalidad existente, aconseja Walters.
«Los administradores deben ser conscientes de que EP sólo utiliza NTLMv2 y TLS 1.2 y posteriores», afirma. Otra consideración a tener en cuenta es que Extended Protection no es compatible con entornos que utilicen SSL offloading. Del mismo modo, bajo ciertas circunstancias, las organizaciones no pueden habilitar Extended Protection en servidores Exchange Server 2013, Exchange Server 2016 CU22, Exchange Server 2019 CU11 o anteriores, y en servidores Exchange que se publican con el Agente híbrido.
«Los problemas adicionales se describen en el sitio web de soporte de Microsoft y debe estar preparado para ellos», dice Walters. «Es necesario probar completamente esta actualización antes de implementarla». Las organizaciones ni siquiera deberían intentar aplicar la actualización sin las pruebas adecuadas, añade.
Los atacantes utilizan a menudo el llamado método pass-the-hash con fines de movimiento lateral. La táctica consiste en robar el hash NTLM de un usuario de un ordenador y utilizarlo para acceder a otro, en este caso un Exchange Server. Uno de sus principales atractivos es que la táctica permite a los usuarios autenticarse como un usuario legítimo en un sistema objetivo sin conocer la contraseña del usuario.
En 2023, el grupo ruso de amenazas persistentes avanzadas Fancy Bear (también conocido como Forest Blizzard y APT28) se aprovechó de un fallo similar (rastreado como CVE-2023-23397) en una oleada de ataques de robo de información dirigidos a gobiernos de Oriente Próximo y varias naciones de la OTAN. Microsoft dispone de un recurso dedicado a los ataques pass-the-hash para las organizaciones que deseen obtener más información sobre este vector de ataque.
Más de 28.500 servidores Exchange vulnerables
Con fecha 19 de febrero del 2024, el servicio de vigilancia de amenazas Shadowserver ha anunciado que sus escáneres han identificado aproximadamente 97.000 servidores potencialmente vulnerables.
Del total de 97.000, el estado vulnerable de unos 68.500 servidores depende de si los administradores aplicaron mitigaciones, mientras que se ha confirmado que 28.500 son vulnerables a CVE-2024-21410. Los países más afectados son Alemania (22.903 instancias), Estados Unidos (19.434), Reino Unido (3.665), Francia (3.074), Austria (2.987), Rusia (2.771), Canadá (2.554) y Suiza (2.119).
La explotación de CVE-2024-21410 puede tener graves consecuencias para una organización porque los atacantes con permisos elevados un servidor Exchange pueden acceder a datos confidenciales como la comunicación por correo electrónico y utilizar el servidor como rampa para otros ataques en la red.
Referencia:
https://www.malwarebytes.com/blog/news/2024/02/microsoft-exchange-vulnerability-actively-exploited
