Microsoft bugün güncellenmiş bir güvenlik danışmanında, Exchange sunucusundaki kritik bir güvenlik açığının Salı günü bu ayın yaması boyunca düzeltilmeden önce sıfır gün olarak kullanılacağı konusunda uyardı.
Dahili olarak keşfedilen ve CVE-2024-21410 olarak izlenen bu güvenlik kusuru, uzaktan kumanda edilmemiş tehdit aktörlerinin, savunmasız Microsoft Exchange Server sürümlerini hedefleyen NTLM rölesi saldırılarında ayrıcalıkları artırmasına izin verebilir.
Bu tür saldırılarda, tehdit aktörü bir ağ cihazını (sunucular veya etki alanı denetleyicileri dahil) hedeflenen cihazları taklit etmek ve ayrıcalıkları yükseltmek için kontrolleri altındaki bir NTLM röle sunucusuna karşı kimliği doğrulamaya zorlar.
Microsoft, "Bir saldırgan, NTLM kimlik bilgileri ya da türden bir güvenlik açığı ile Outlook gibi bir NTLM istemcisini hedefleyebilir."
"Sızan kimlik bilgileri, kurban müşterisi olarak ayrıcalıklar kazanmak ve kurbanın adına Exchange sunucusunda operasyonlar gerçekleştirmek için Exchange sunucusuna karşı aktarılabilir.
"Bu güvenlik açığını başarıyla kullanan bir saldırgan, bir kullanıcının sızdırılmış net-ntlmv2 karmasını savunmasız bir değişim sunucusuna karşı iletebilir ve kullanıcı olarak kimlik doğrulaması yapabilir."
Exchange Server 2019 Kümülatif Güncelleme 14 (CU14) Güncellemesi Şubat 2024 Yaması Salı günü yayınlandı.
EP, kimlik doğrulama rölesini ve ortadaki adam (MITM) saldırılarını hafifleterek Windows Server Auth işlevini güçlendirmek için tasarlanmıştır.
Microsoft ilk olarak Ağustos 2022'de Exchange Server EP desteğini tanıttı ve bir yıl sonra EP'nin CU14'ü dağıttıktan sonra tüm Exchange sunucularında varsayılan olarak etkinleştirileceğini duyurdu.
Bugün şirket, bu ayın 2024 H1 kümülatif güncellemesini (aka CU14) yükledikten sonra EP'nin varsayılan olarak tüm değişim sunucularında etkinleştirileceğini duyurdu.
Yöneticiler ayrıca Exchange Server 2016 gibi Exchange Server'ın önceki sürümlerinde EP'yi etkinleştirmek için ExchexExtendedProteCectionManagement PowerShell betiğini de kullanabilirler. Bu, sistemlerini CVE-2024-21410'a karşı açılmamış saldırılara karşı koruyacaktır.
Bununla birlikte, EP Exchange sunucularında EP'yi değiştirmeden önce, yöneticiler ortamlarını değerlendirmeli ve işlevselliği kırmaktan kaçınmak için Microsoft'un EP Toggle betiği belgelerinde belirtilen sorunları gözden geçirmelidir.
Bugün, Microsoft ayrıca bu ayın Salı günü düzeltilmeden önce saldırılarda kullanıldığı gibi kritik bir Outlook Uzaktan Kod Yürütme (RCE) güvenlik açığı (CVE-2024-21413) etiketledi.
Microsoft Exchange güncellemesi varsayılan olarak genişletilmiş korumayı sağlar
Yeni 'Looney Tunables' Linux hatası büyük dağıtımlarda kök veriyor
CISA: Kritik Microsoft SharePoint hatası artık aktif olarak sömürüldü
Microsoft Exchange 2019, ana desteğin sonuna ulaştı
Yeni kritik Microsoft Outlook RCE Hatası, sömürmek için önemsizdir
Kaynak: Bleeping Computer