aiutocomputerhelp
news

CVE-2024-21410 (CVSS score: 9.8) : Exchange Server

Giovanni Popolizio , , , , , , , , ,

Nuova Falla in Exchange Server

CVE-2024-21410 – Microsoft ha riconosciuto mercoledì l’attivo utilizzo di una nuova grave vulnerabilità di sicurezza in Exchange Server, intervenendo con correzioni immediatamente dopo gli aggiornamenti del Patch Tuesday.

La falla, identificata come CVE-2024-21410 (CVSS score: 9.8), è stata classificata come un’escalation dei privilegi che colpisce direttamente Exchange Server.

Secondo quanto dichiarato dall’azienda, “Un attaccante potrebbe puntare un client NTLM come Outlook sfruttando una vulnerabilità di tipo di perdita di credenziali NTLM.”

Le credenziali ottenute potrebbero quindi essere utilizzate per accedere al server Exchange, ottenendo così privilegi equivalenti a quelli del cliente vittima e consentendo operazioni a nome di quest’ultimo.

Redmond ha aggiornato la sua valutazione dell’esploitabilità a “Esploitazione Rilevata”, implementando per difetto la Protezione Estesa per l’Autenticazione (EPA) con l’aggiornamento Cumulativo 14 (CU14) di Exchange Server 2019.

Attualmente, mancano dettagli sull’entità dello sfruttamento e sugli attori coinvolti, ma gruppi di hacker legati alla Russia, come APT28 (aka Forest Blizzard), hanno una storia di attacchi che sfruttano falle in Microsoft Outlook per compiere azioni malevole.

Trend Micro ha recentemente identificato attacchi di trasmissione NTLM mirati ad entità di alto valore, con falle che vanno riscontrate almeno dal 2022. Le vittime includono organizzazioni operanti nei settori degli affari esteri, energia, difesa, trasporti, lavoro, welfare sociale, finanze e molto altro.

Questa vulnerabilità critica di Exchange Server, insieme ad altre due falle di Windows (CVE-2024-21351 e CVE-2024-21412), recentemente corrette, è stata utilizzata attivamente in attacchi reali.

CVE-2024-21410
CVE-2024-21410 Exchange Server

Water Hydra

CVE-2024-21412, ad esempio, è stato sfruttato da una minaccia persistente avanzata conosciuta come Water Hydra (aka DarkCasino). Walter Hydra ha precedentemente utilizzato zero-day in WinRAR per distribuire il trojan DarkMe.

L’aggiornamento del Patch Tuesday di Microsoft ha affrontato anche CVE-2024-21413, una grave vulnerabilità che coinvolge il software di posta Outlook. Questa vulnerabilità permette potenzialmente l’esecuzione remota di codice e bypassando misure di sicurezza come la Vista Protetta.

Conosciuta come MonikerLink, questa falla potrebbe avere un impatto significativo, consentendo la divulgazione di informazioni sensibili e l’esecuzione di codice arbitrario. Riesce ad eludere con destrezza “persino” le misure di sicurezza di Office.

In sintesi, Microsoft sta combattendo una serie di vulnerabilità serie che mettono a rischio la sicurezza di Exchange Server e di altre sue piattaforme. È fondamentale per gli utenti applicare immediatamente gli aggiornamenti disponibili per proteggere i propri sistemi da potenziali attacchi.