Microsoft Çarşamba günü, Exchange Server’da yeni açıklanan kritik bir güvenlik açığının, Salı Yaması güncellemelerinin bir parçası olarak güvenlik açığına yönelik düzeltmeler yayınlamasından bir gün sonra aktif olarak kullanıldığını kabul etti.
Şu şekilde izlendi: CVE-2024-21410 (CVSS puanı: 9,8), sorun Exchange Server’ı etkileyen bir ayrıcalık yükseltme durumu olarak tanımlandı.
Şirket, bu hafta yayınlanan bir danışma belgesinde “Bir saldırgan, NTLM kimlik bilgilerini sızdıran türden bir güvenlik açığına sahip Outlook gibi bir NTLM istemcisini hedefleyebilir” dedi.
“Sızdırılan kimlik bilgileri daha sonra kurban istemcisi olarak ayrıcalıklar kazanmak ve kurban adına Exchange sunucusunda işlemler gerçekleştirmek için Exchange sunucusuna iletilebilir.”
Redmond, kusurun başarılı bir şekilde kullanılmasının, bir saldırganın kullanıcının sızdırılan Net-NTLMv2 karmasını duyarlı bir Exchange Sunucusuna aktarmasına ve kullanıcı olarak kimlik doğrulaması yapmasına olanak verebileceğini ekledi.
Teknoloji devi, bülteninde yaptığı bir güncellemede, Exchange Server 2019 Kümülatif Güncelleme 14 (CU14) güncellemesiyle artık varsayılan olarak Kimlik Doğrulama için Genişletilmiş Korumayı (EPA) etkinleştirdiğini belirterek, Yararlanabilirlik Değerlendirmesini “Kötüye Kullanım Algılandı” olarak revize etti.
İstismarın niteliği ve kusuru kötüye kullanabilecek tehdit aktörlerinin kimliği hakkındaki ayrıntılar şu anda bilinmiyor. Ancak APT28 (diğer adıyla Forest Blizzard) gibi Rus devletine bağlı bilgisayar korsanlığı ekiplerinin, NTLM geçiş saldırıları düzenlemek için Microsoft Outlook’taki kusurlardan yararlanma geçmişi var.
Bu ayın başlarında Trend Micro, saldırganın en azından Nisan 2022’den bu yana yüksek değerli varlıkları hedef alan NTLM geçiş saldırılarına karıştığını ortaya çıkardı. İzinsiz girişler, dış ilişkiler, enerji, savunma ve ulaştırma ile ilgilenen kuruluşların yanı sıra emek ve sosyal refahla ilgili kuruluşları hedef aldı. , finans, ebeveynlik ve yerel şehir konseyleri.
CVE-2024-21410, Microsoft tarafından bu hafta yamalanan ve gerçek hayatta aktif olarak silah haline getirilen diğer iki Windows kusuruna (CVE-2024-21351 (CVSS puanı: 7,6) ve CVE-2024-21412 (CVSS puanı: 8,1)) ekleniyor. dünya saldırıları.
Windows SmartScreen korumalarının atlanmasını sağlayan bir hata olan CVE-2024-21412’nin kötüye kullanılması, daha önce DarkMe truva atını dağıtmak için WinRAR’daki sıfır günlerden yararlanan Water Hydra (aka DarkCasino) adlı gelişmiş bir kalıcı tehdide atfedilmiştir. .
Trend Micro, “Grup, kullanıcı tarafından seçildiğinde tehdit aktörünün CVE-2024-21412’den yararlanmasına olanak tanıyan JPEG görüntüsü görünümüne bürünmüş internet kısayolları kullandı.” dedi. “Grup daha sonra Microsoft Defender SmartScreen’i atlayabilir ve saldırı zincirinin bir parçası olarak Windows ana bilgisayarını tamamen tehlikeye atabilir.”
Microsoft’un Salı Yaması güncellemesi ayrıca, Outlook e-posta yazılımını etkileyen ve Korumalı Görünüm gibi güvenlik önlemlerini önemsiz bir şekilde atlatarak uzaktan kod yürütülmesine neden olabilecek bir diğer kritik eksiklik olan CVE-2024-21413’ü de gideriyor.
Check Point tarafından kod adı MonikerLink olan sorun, “yerel NTLM kimlik bilgisi bilgilerinin sızdırılmasından keyfi kod yürütülmesine kadar geniş ve ciddi bir etkiye izin veriyor.”
Güvenlik açığı, saldırgan tarafından kontrol edilen sunucularda barındırılan rastgele yükleri işaret eden URL’lere ünlem işareti eklenerek “file://” köprü bağlantılarının yanlış ayrıştırılmasından kaynaklanmaktadır (örneğin, “file:///\\10.10.111.111\test\test”) .rtf!bir şey”).
Siber güvenlik firması, “Hata yalnızca yerel NTLM bilgilerinin sızmasına izin vermekle kalmıyor, aynı zamanda bir saldırı vektörü olarak uzaktan kod yürütülmesine ve daha fazlasına da izin verebilir” dedi. “Ayrıca diğer Office uygulamalarını hedeflemek için bir saldırı vektörü olarak kullanıldığında Office Korumalı Görünümü de atlayabilir.”