Microsoft Exchange Server’da CVE-2024-21410 olarak tanımlanan kritik bir güvenlik açığının, tehdit aktörleri tarafından aktif olarak kullanıldığı bildirildi.
Bu sıfır gün kusuru, kimliği doğrulanmamış uzak saldırganların NTLM geçiş saldırıları gerçekleştirmesine ve sistemdeki ayrıcalıklarını yükseltmesine olanak tanır. En son raporlara göre 28.500’den fazla Exchange sunucusu bu güvenlik sorununa karşı savunmasız durumda.
Ayrıcalık Yükseltmesi 0 Günlük Kusur
CVE-2024-21410 güvenlik açığı, saldırganların bir ağ cihazını kendi kontrolleri altındaki bir NTLM geçiş sunucusunda kimlik doğrulaması yapmaya zorlamasına olanak tanır.
Bu, hedeflenen cihazların kimliğine bürünmelerine ve ayrıcalıkları yükseltmelerine olanak tanır.
Microsoft, kusuru dahili olarak keşfetti ve bu kusur, Kimlik Doğrulama için Genişletilmiş Koruma (EPA) olarak da bilinen NTLM kimlik bilgileri Aktarma Korumalarını etkinleştiren Exchange Server 2019 Toplu Güncelleştirme 14’te (CU14) giderildi.
En son Gölge Sunucu raporlarına göre, İnternet üzerinden yaklaşık 97.000 sunucunun saldırıya açık olduğu tespit edildi.
Azaltma Stratejileri
Microsoft, bu güvenlik açığına karşı koruma sağlamak için risk azaltma stratejileri sağlamıştır.
Anahtar azaltma, aktarma ve ortadaki adam (MitM) saldırılarını azaltarak Windows Server kimlik doğrulama işlevselliğini güçlendirmek için tasarlanan Exchange sunucularında Genişletilmiş Korumanın (EP) etkinleştirilmesini içerir.
EP, 2024 H1 Toplu Güncelleme (CU14) yüklendikten sonra tüm Exchange sunucularında varsayılan olarak otomatik olarak etkinleştirilecektir.
Exchange Server 2016 gibi Exchange Server’ın önceki sürümlerinde yöneticiler, Microsoft tarafından sağlanan ExchangeExtishedProtectionManagement PowerShell komut dosyasını kullanarak EP’yi etkinleştirebilir.
Yama uygulanmamış cihazları hedef alan saldırılara karşı korunmak için bu azaltıcı önlemlerin derhal uygulanması çok önemlidir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.