Microsoft bugün güncellenmiş bir güvenlik danışma belgesinde, Exchange Server’daki kritik bir güvenlik açığının bu ayın Salı Yaması sırasında düzeltilmeden önce sıfır gün olarak kullanıldığı konusunda uyardı.
Dahili olarak keşfedilen ve CVE-2024-21410 olarak izlenen bu güvenlik açığı, kimliği doğrulanmamış uzak tehdit aktörlerinin, savunmasız Microsoft Exchange Server sürümlerini hedef alan NTLM geçiş saldırılarında ayrıcalıkları artırmasına olanak tanıyabilir.
Bu tür saldırılarda tehdit aktörü, hedeflenen cihazların kimliğine bürünmek ve ayrıcalıkları yükseltmek için bir ağ cihazını (sunucular veya etki alanı denetleyicileri dahil) kendi kontrolü altındaki bir NTLM aktarma sunucusuna karşı kimlik doğrulaması yapmaya zorlar.
Microsoft, “Bir saldırgan, NTLM kimlik bilgilerini sızdıran türden bir güvenlik açığına sahip Outlook gibi bir NTLM istemcisini hedefleyebilir” diye açıklıyor.
“Sızdırılan kimlik bilgileri daha sonra kurban istemcisi olarak ayrıcalıklar kazanmak ve kurban adına Exchange sunucusunda işlemler gerçekleştirmek için Exchange sunucusuna iletilebilir.
“Bu güvenlik açığından başarıyla yararlanan bir saldırgan, kullanıcının sızdırılan Net-NTLMv2 karmasını güvenlik açığı bulunan bir Exchange Sunucusuna aktarabilir ve kullanıcı olarak kimlik doğrulaması yapabilir.”
Exchange Genişletilmiş Koruma aracılığıyla Azaltma
Exchange Server 2019 Toplu Güncelleştirme 14 (CU14) güncelleştirmesi, NTLM kimlik bilgileri Aktarma Korumalarını (Kimlik Doğrulama için Genişletilmiş Koruma veya EPA olarak da bilinir) etkinleştirerek bu güvenlik açığını giderir.
EP, kimlik doğrulama geçişini ve ortadaki adam (MitM) saldırılarını azaltarak Windows Server kimlik doğrulama işlevselliğini güçlendirmek için tasarlanmıştır.
Microsoft bugün, bu ayın 2024 H1 Toplu Güncelleştirmesi (diğer adıyla CU14) yüklendikten sonra Genişletilmiş Korumanın (EP) tüm Exchange sunucularında varsayılan olarak otomatik olarak etkinleştirileceğini duyurdu.
Yöneticiler, Exchange Server 2016 gibi önceki Exchange Server sürümlerinde EP’yi etkinleştirmek için ExchangeExtishedProtectionManagement PowerShell komut dosyasını kullanabilir. Bu aynı zamanda sistemlerini, CVE-2024-21410’a karşı yama uygulanmamış cihazları hedef alan saldırılara karşı da koruyacaktır.
Ancak, Exchange sunucularında EP’yi değiştirmeden önce yöneticilerin ortamlarını değerlendirmeleri ve işlevselliğin bozulmasını önlemek için Microsoft’un EP geçiş komut dosyasına ilişkin belgelerinde belirtilen sorunları incelemeleri gerekir.
Yöneticilerin, bazı işlevlerin bozulmasını önlemek için Exchange sunucularında EP’yi değiştirmeden önce ortamlarını değerlendirmeleri ve Microsoft tarafından sağlanan ExchangeExtishedProtectionManagement PowerShell komut dosyası belgelerinde belirtilen sorunları gözden geçirmeleri önerilir.
Bugün Microsoft ayrıca, bu ayki Salı Yaması sırasında düzeltilmeden önce, yanlışlıkla saldırılarda yararlanılan kritik bir Outlook uzaktan kod yürütme (RCE) güvenlik açığını (CVE-2024-21413) etiketledi.