Корпорация Майкрософт в среду признала, что недавно обнаруженная критическая ошибка безопасности в Exchange Server активно использовалась в дикой природе, на следующий день после того, как она выпустила исправления для уязвимости в рамках своих обновлений во вторник.
Отслеживаемая как CVE-2024-21410 (оценка CVSS: 9,8), проблема была описана как случай повышения привилегий, влияющий на сервер Exchange.
"Злоумышленник может нацелиться на клиент NTLM, такой как Outlook, с уязвимостью типа утечки учетных данных NTLM", - сообщила компания в отчете, опубликованном на этой неделе.
"Затем утечка учетных данных может быть передана серверу Exchange для получения привилегий клиента-жертвы и выполнения операций на сервере Exchange от имени жертвы".
Успешное использование ошибки может позволить злоумышленнику передать утечку хэша Net-NTLMv2 пользователя уязвимому серверу Exchange и аутентифицироваться как пользователь, добавил Редмонд.
Технический гигант в обновлении своего бюллетеня изменил оценку возможности использования на "Эксплуатация обнаружена", отметив, что теперь он включил расширенную защиту аутентификации (EPA) по умолчанию в накопительном обновлении Exchange Server 2019 14 (CU14).
Подробности о характере эксплуатации и личности участников угрозы, которые могут злоупотреблять этой ошибкой, в настоящее время неизвестны. Однако хакерские группы, связанные с российским государством, такие как APT28 (также известные как Forest Blizzard), уже использовали уязвимости в Microsoft Outlook для проведения атак с ретрансляцией NTLM.
Ранее в этом месяце Trend Micro обвинила злоумышленника в атаках с ретрансляцией NTLM, нацеленных на объекты с высокой стоимостью, по крайней мере, с апреля 2022 года. Целью вторжений были организации, занимающиеся иностранными делами, энергетикой, обороной и транспортом, а также те, кто связан с трудовыми отношениями, социальным обеспечением, финансами, родительством и местными городскими советами.
CVE-2024-21410 дополняет две другие ошибки Windows – CVE-2024-21351 (оценка CVSS: 7,6) и CVE-2024-21412 (оценка CVSS: 8,1), которые были исправлены Microsoft на этой неделе и активно используются в реальных атаках.
Использование CVE -2024 -21412, ошибки, позволяющей обходить средства защиты Windows SmartScreen, приписывается продвинутой постоянной угрозе, получившей название Water Hydra (она же DarkCasino), которая ранее использовала нулевые дни в WinRAR для развертывания троянца DarkMe.
"Группа использовала интернет-ярлыки, замаскированные под изображение в формате JPEG, которое при выборе пользователем позволяет субъекту угрозы использовать CVE -2024-21412", - сообщили в Trend Micro. "Затем группа может обойти Microsoft Defender SmartScreen и полностью скомпрометировать хост Windows в рамках своей цепочки атак".
Обновление Microsoft, выпущенное во вторник, также устраняет CVE -2024-21413, еще один критический недостаток, влияющий на программное обеспечение электронной почты Outlook, который может привести к удаленному выполнению кода путем банального обхода мер безопасности, таких как Protected View.
Проблема под кодовым названием MonikerLink от Check Point "допускает широкое и серьезное воздействие, варьирующееся от утечки локальной учетной информации NTLM до выполнения произвольного кода".
Уязвимость связана с неправильным анализом гиперссылок "file://" путем добавления восклицательного знака к URL-адресам, указывающим на произвольные полезные нагрузки, размещенные на серверах, контролируемых злоумышленниками (например, "file:/// \\10.10.111.111\test\test.rtf!something").
"Ошибка не только допускает утечку локальной информации NTLM, но также может допускать удаленное выполнение кода и многое другое в качестве вектора атаки", - сказали в компании по кибербезопасности. "Он также может обходить защищенное представление Office, когда используется в качестве вектора атаки для нацеливания на другие приложения Office".
Отслеживаемая как CVE-2024-21410 (оценка CVSS: 9,8), проблема была описана как случай повышения привилегий, влияющий на сервер Exchange.
"Злоумышленник может нацелиться на клиент NTLM, такой как Outlook, с уязвимостью типа утечки учетных данных NTLM", - сообщила компания в отчете, опубликованном на этой неделе.
"Затем утечка учетных данных может быть передана серверу Exchange для получения привилегий клиента-жертвы и выполнения операций на сервере Exchange от имени жертвы".
Успешное использование ошибки может позволить злоумышленнику передать утечку хэша Net-NTLMv2 пользователя уязвимому серверу Exchange и аутентифицироваться как пользователь, добавил Редмонд.
Технический гигант в обновлении своего бюллетеня изменил оценку возможности использования на "Эксплуатация обнаружена", отметив, что теперь он включил расширенную защиту аутентификации (EPA) по умолчанию в накопительном обновлении Exchange Server 2019 14 (CU14).
Подробности о характере эксплуатации и личности участников угрозы, которые могут злоупотреблять этой ошибкой, в настоящее время неизвестны. Однако хакерские группы, связанные с российским государством, такие как APT28 (также известные как Forest Blizzard), уже использовали уязвимости в Microsoft Outlook для проведения атак с ретрансляцией NTLM.
Ранее в этом месяце Trend Micro обвинила злоумышленника в атаках с ретрансляцией NTLM, нацеленных на объекты с высокой стоимостью, по крайней мере, с апреля 2022 года. Целью вторжений были организации, занимающиеся иностранными делами, энергетикой, обороной и транспортом, а также те, кто связан с трудовыми отношениями, социальным обеспечением, финансами, родительством и местными городскими советами.
CVE-2024-21410 дополняет две другие ошибки Windows – CVE-2024-21351 (оценка CVSS: 7,6) и CVE-2024-21412 (оценка CVSS: 8,1), которые были исправлены Microsoft на этой неделе и активно используются в реальных атаках.
Использование CVE -2024 -21412, ошибки, позволяющей обходить средства защиты Windows SmartScreen, приписывается продвинутой постоянной угрозе, получившей название Water Hydra (она же DarkCasino), которая ранее использовала нулевые дни в WinRAR для развертывания троянца DarkMe.
"Группа использовала интернет-ярлыки, замаскированные под изображение в формате JPEG, которое при выборе пользователем позволяет субъекту угрозы использовать CVE -2024-21412", - сообщили в Trend Micro. "Затем группа может обойти Microsoft Defender SmartScreen и полностью скомпрометировать хост Windows в рамках своей цепочки атак".
Обновление Microsoft, выпущенное во вторник, также устраняет CVE -2024-21413, еще один критический недостаток, влияющий на программное обеспечение электронной почты Outlook, который может привести к удаленному выполнению кода путем банального обхода мер безопасности, таких как Protected View.
Проблема под кодовым названием MonikerLink от Check Point "допускает широкое и серьезное воздействие, варьирующееся от утечки локальной учетной информации NTLM до выполнения произвольного кода".
Уязвимость связана с неправильным анализом гиперссылок "file://" путем добавления восклицательного знака к URL-адресам, указывающим на произвольные полезные нагрузки, размещенные на серверах, контролируемых злоумышленниками (например, "file:/// \\10.10.111.111\test\test.rtf!something").
"Ошибка не только допускает утечку локальной информации NTLM, но также может допускать удаленное выполнение кода и многое другое в качестве вектора атаки", - сказали в компании по кибербезопасности. "Он также может обходить защищенное представление Office, когда используется в качестве вектора атаки для нацеливания на другие приложения Office".
