97.000’e kadar Microsoft Exchange sunucusu, bilgisayar korsanlarının aktif olarak yararlandığı, CVE-2024-21410 olarak takip edilen kritik önem derecesine sahip bir ayrıcalık yükseltme kusuruna karşı savunmasız olabilir.
Microsoft, sorunu zaten sıfır gün olarak kullanıldığında 13 Şubat’ta ele aldı. Şu anda 28.500 sunucunun savunmasız olduğu belirlendi.
Exchange Server, e-posta, takvim, kişi yönetimi ve görev yönetimi hizmetleri sağlayarak kullanıcılar arasındaki iletişimi ve işbirliğini kolaylaştırmak için iş ortamlarında yaygın olarak kullanılır.
Güvenlik sorunu, kimliği doğrulanmamış uzaktan aktörlerin Microsoft Exchange Sunucularına NTLM geçiş saldırıları gerçekleştirmesine ve sistemdeki ayrıcalıklarını yükseltmesine olanak tanıyor.
Günümüzde tehdit izleme hizmeti Shadowserver duyuruldu tarayıcılarının yaklaşık 97.000 potansiyel olarak savunmasız sunucu tespit ettiğini söyledi.
Toplam 97.000 sunucudan tahmini 68.500 sunucunun güvenlik açığı durumu, yöneticilerin hafifletici önlemler uygulayıp uygulamadığına bağlıdır; 28.500 sunucunun ise CVE-2024-21410’a karşı savunmasız olduğu doğrulandı.
En çok etkilenen ülkeler Almanya (22.903 vaka), Amerika Birleşik Devletleri (19.434), Birleşik Krallık (3.665), Fransa (3.074), Avusturya (2.987), Rusya (2.771), Kanada (2.554) ve İsviçre (2.119) .
Şu anda, CVE-2024-21410’a yönelik kamuya açık bir kavram kanıtı (PoC) istismarı mevcut değil, bu da saldırılarda kusuru kullanan saldırganların sayısını bir şekilde sınırlıyor.
CVE-2024-21410 sorununu gidermek için sistem yöneticilerinin, Şubat 2024 Yaması Salı sırasında yayınlanan ve NTLM kimlik bilgileri Aktarma Korumalarını etkinleştiren Exchange Server 2019 Toplu Güncelleme 14 (CU14) güncellemesini uygulamaları önerilir.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) da CVE-2024-21410’u ‘Bilinen İstismar Edilen Güvenlik Açıkları’ kataloğuna ekleyerek federal kurumlara mevcut güncellemeleri/azaltma önlemlerini uygulamaları veya ürünü kullanmayı bırakmaları için 7 Mart 2024’e kadar süre tanıdı.
CVE-2024-21410’un kötüye kullanılması bir kuruluş için ciddi sonuçlar doğurabilir çünkü Exchange Server’da yükseltilmiş izinlere sahip saldırganlar, e-posta iletişimi gibi gizli verilere erişebilir ve sunucuyu ağdaki daha sonraki saldırılar için bir rampa olarak kullanabilir.