Microsoft heeft woensdag erkend dat een nieuw openbaar gemaakt kritiek beveiligingslek in Exchange Server actief in het wild is uitgebuit, een dag nadat het oplossingen voor het beveiligingslek had uitgebracht als onderdeel van de Patch Tuesday-updates.
Bijgehouden als CVE-2024-21410 (CVSS-score: 9,8), is het probleem beschreven als een geval van escalatie van bevoegdheden met gevolgen voor de Exchange Server.
“Een aanvaller zou zich kunnen richten op een NTLM-client zoals Outlook met een kwetsbaarheid van het type NTLM-referenties”, aldus het bedrijf in een advies dat deze week werd gepubliceerd.
“De gelekte inloggegevens kunnen vervolgens worden doorgegeven aan de Exchange-server om privileges te verkrijgen als slachtofferclient en om namens het slachtoffer bewerkingen uit te voeren op de Exchange-server.”
Succesvol misbruik van de fout zou een aanvaller in staat kunnen stellen de gelekte Net-NTLMv2-hash van een gebruiker door te geven aan een gevoelige Exchange Server en zich te authenticeren als de gebruiker, voegde Redmond eraan toe.
De technologiegigant heeft in een update van zijn bulletin zijn Exploitability Assessment herzien naar “Exploitation Detected”, waarbij hij opmerkte dat het nu standaard Extended Protection for Authentication (EPA) heeft ingeschakeld met de Exchange Server 2019 Cumulatieve Update 14 (CU14) update.
Details over de aard van de uitbuiting en de identiteit van de dreigingsactoren die mogelijk misbruik maken van de kwetsbaarheid zijn momenteel onbekend. Russische staatsgelieerde hackploegen zoals APT28 (ook bekend als Forest Blizzard) hebben echter een geschiedenis van het misbruiken van fouten in Microsoft Outlook om NTLM-relay-aanvallen uit te voeren.
Eerder deze maand betrok Trend Micro de tegenstander bij NTLM-relay-aanvallen gericht op hoogwaardige entiteiten, in ieder geval sinds april 2022. De inbraken waren gericht op organisaties die zich bezighouden met buitenlandse zaken, energie, defensie en transport, maar ook op organisaties die zich bezighouden met arbeid en sociale zekerheid. , financiën, ouderschap en lokale gemeenteraden.
CVE-2024-21410 draagt bij aan twee andere Windows-fouten – CVE-2024-21351 (CVSS-score: 7,6) en CVE-2024-21412 (CVSS-score: 8,1) – die deze week door Microsoft zijn gepatcht en actief zijn bewapend in real- wereld aanvallen.
De exploitatie van CVE-2024-21412, een bug die het omzeilen van Windows SmartScreen-beveiligingen mogelijk maakt, wordt toegeschreven aan een geavanceerde aanhoudende dreiging genaamd Water Hydra (ook bekend als DarkCasino), die eerder zero-days in WinRAR heeft gebruikt om de DarkMe-trojan in te zetten. .
“De groep gebruikte internetsnelkoppelingen vermomd als een JPEG-afbeelding die, wanneer geselecteerd door de gebruiker, de bedreigingsactor in staat stelt CVE-2024-21412 te exploiteren”, aldus Trend Micro. “De groep kan vervolgens Microsoft Defender SmartScreen omzeilen en de Windows-host volledig in gevaar brengen als onderdeel van zijn aanvalsketen.”
De Patch Tuesday-update van Microsoft pakt ook CVE-2024-21413 aan, een andere kritieke tekortkoming in de e-mailsoftware van Outlook die zou kunnen resulteren in het uitvoeren van code op afstand door op triviale wijze beveiligingsmaatregelen zoals Protected View te omzeilen.
Het probleem, met de codenaam MonikerLink van Check Point, “zorgt voor een brede en ernstige impact, variërend van het lekken van lokale NTLM-referentie-informatie tot het uitvoeren van willekeurige code.”
Het beveiligingslek komt voort uit het onjuist parseren van “file://”-hyperlinks door een uitroepteken toe te voegen aan URL’s die verwijzen naar willekeurige payloads die worden gehost op door de aanvaller gecontroleerde servers (bijvoorbeeld “file:///\10.10.111.111testtest .rtf!iets”).
“De bug maakt niet alleen het lekken van lokale NTLM-informatie mogelijk, maar kan ook externe code uitvoeren en meer als aanvalsvector”, aldus het cyberbeveiligingsbedrijf. “Het zou ook de Office Protected View kunnen omzeilen wanneer het wordt gebruikt als aanvalsvector om zich op andere Office-applicaties te richten.”
