Microsoft sufre Nuevo Error Crítico de Exchange explotado como Ataque de Día Zero

Microsoft advirtió hoy en un aviso de seguridad actualizado que una vulnerabilidad crítica en Exchange Server fue explotada como día cero antes de ser reparada durante el martes de parches de este mes.

Descubierto internamente y rastreado como CVE-2024-21410 , este fallo de seguridad puede permitir que actores de amenazas remotos no autenticados escale privilegios en ataques de retransmisión NTLM dirigidos a versiones vulnerables de Microsoft Exchange Server.

En tales ataques, el actor de la amenaza obliga a un dispositivo de red (incluidos servidores o controladores de dominio) a autenticarse en un servidor de retransmisión NTLM bajo su control para hacerse pasar por los dispositivos objetivo y elevar los privilegios.

«Un atacante podría apuntar a un cliente NTLM como Outlook con una vulnerabilidad del tipo de fuga de credenciales NTLM», explica Microsoft.

«Las credenciales filtradas pueden luego transmitirse al servidor Exchange para obtener privilegios como cliente víctima y realizar operaciones en el servidor Exchange en nombre de la víctima.

«Un atacante que explotara con éxito esta vulnerabilidad podría transmitir el hash Net-NTLMv2 filtrado de un usuario contra un servidor Exchange vulnerable y autenticarse como el usuario».

Mitigación a través de la Protección Extendida de Exchange

La actualización de actualización acumulativa 14 (CU14) de Exchange Server 2019 lanzada durante el martes de parches de febrero de 2024 aborda esta vulnerabilidad al habilitar las protecciones de retransmisión de credenciales NTLM (también conocidas como protección extendida para autenticación o EPA).

EP está diseñado para fortalecer la funcionalidad de autenticación de Windows Server mitigando los ataques de retransmisión de autenticación y de intermediario (MitM).

Microsoft introdujo por primera vez la compatibilidad con Exchange Server EP en agosto de 2022 y anunció un año después que EP se habilitaría de forma predeterminada en todos los servidores Exchange después de implementar CU14.

Hoy, la compañía anunció que EP se habilitará de forma predeterminada en todos los servidores Exchange después de instalar la actualización acumulativa H1 de 2024 de este mes (también conocida como CU14).

Los administradores también pueden usar el script ExchangeExtendedProtectionManagement PowerShell para activar EP en versiones anteriores de Exchange Server, como Exchange Server 2016. Esto también protegerá sus sistemas contra ataques dirigidos a dispositivos sin parches contra CVE-2024-21410.

Sin embargo, antes de alternar EP en sus servidores Exchange, los administradores deben evaluar sus entornos y revisar los problemas mencionados en la documentación de Microsoft para el script de alternancia de EP para evitar interrumpir la funcionalidad.

Hoy, Microsoft también etiquetó por error una vulnerabilidad crítica de ejecución remota de código (RCE) de Outlook (CVE-2024-21413) como explotada en ataques antes de ser reparada durante el martes de parches de este mes.