Microsoft ha riconosciuto mercoledì che una nuova grave vulnerabilità di sicurezza in Microsoft Exchange Server è stata attivamente sfruttata nel mondo reale, un giorno dopo aver rilasciato correzioni per la vulnerabilità come parte degli aggiornamenti Patch Tuesday che è avvenuto di recente.
In cosa consiste il problema relativo a Microsoft Exchange Server
Identificato come CVE-2024-21410 (punteggio CVSS: 9.8), il problema è stato descritto come un caso di escalation dei privilegi che interessa Microsoft Exchange Server, in particolar modo.
“Un attaccante potrebbe mirare a un client NTLM come Outlook con una vulnerabilità di tipo NTLM che comporta la divulgazione di credenziali“, ha dichiarato l’azienda in un avviso pubblicato questa settimana, aggiungendo: “Le credenziali divulgate possono quindi essere reindirizzate verso il server Exchange per ottenere privilegi come il client vittima e per eseguire operazioni sul server Exchange a nome della vittima.”
L’exploit riuscito della falla potrebbe consentire a un attaccante di reindirizzare l’hash Net-NTLMv2 divulgato di un utente verso un server Exchange suscettibile e autenticarsi come l’utente, ha aggiunto Redmond.
Il gigante tecnologico, in un aggiornamento del suo bollettino, ha rivisto la sua valutazione dell’exploitabilità a “Rilevamento dell’exploit”, notando che ha ora abilitato Extended Protection for Authentication (EPA) per impostazione predefinita con l’aggiornamento Cumulative Update 14 (CU14) di Microsoft Exchange Server 2019.
Dettagli sulla natura dello sfruttamento e sull’identità degli attori minacciosi che potrebbero abusare della falla sono attualmente sconosciuti; tuttavia, gruppi di hacker affiliati allo stato russo come APT28 (noto anche come Forest Blizzard) hanno una storia di sfruttamento di falle in Microsoft Outlook per attuare attacchi di relay NTLM.
All’inizio di questo mese, Trend Micro ha detto implicitamente che l’avversario in attacchi di relay NTLM (che non a caso è stato recentemente sostituito con un altro protocollo) mirati ad entità di alto valore almeno da aprile 2022; le intrusioni hanno preso di mira organizzazioni che si occupano di affari esteri, energia, difesa e trasporti, oltre a quelle coinvolte in lavoro, assistenza sociale, finanza, genitorialità e consigli comunali locali.
Il CVE-2024-21410 si aggiunge a due altre falle di Windows – CVE-2024-21351 (punteggio CVSS: 7.6) e CVE-2024-21412 (punteggio CVSS: 8.1) che sono state corrette da Microsoft questa settimana e attivamente utilizzate in attacchi informatici comprovati.
Lo sfruttamento del CVE-2024-21412, un bug che consente di aggirare le protezioni di Windows SmartScreen, è stato attribuito a una minaccia persistente avanzata chiamata Water Hydra (conosciuta anche col nome DarkCasino), che ha precedentemente sfruttato zero-day in WinRAR per distribuire il trojan DarkMe.
“Il gruppo ha utilizzato shortcut Internet mascherati da un’immagine JPEG che, quando selezionata dall’utente, consente al criminale informatico di sfruttare il CVE-2024-21412“, ha dichiarato Trend Micro. “Il gruppo può quindi bypassare Microsoft Defender SmartScreen e compromettere completamente l’host Windows come parte della sua catena di attacchi.”
L’aggiornamento Patch Tuesday di Microsoft affronta anche il CVE-2024-21413, un’altra grave falla che colpisce il software di posta elettronica Outlook e potrebbe comportare l’esecuzione remota di codice eludendo facilmente misure di sicurezza come la visualizzazione protetta.
Chiamato MonikerLink da Check Point, il problema “consente un impatto ampio e grave, variando dalla divulgazione delle informazioni di credenziali NTLM locali all’esecuzione di codice malevolo.”
La vulnerabilità deriva dall’analisi errata degli URL “file://” aggiungendo un punto esclamativo agli URL che puntano a payload arbitrari ospitati su server controllati dall’attaccante (ad esempio, “file:///\10.10.111.111\test\test.rtf!something”).
“La falla non solo consente la divulgazione delle informazioni NTLM locali, ma potrebbe anche consentire l’esecuzione remota di codice e altro come vettore di attacco“, ha dichiarato l’azienda di sicurezza informatica Tend Micro, aggiungendo alla fine che “Potrebbe anche aggirare la visualizzazione protetta di Office quando viene utilizzata come vettore di attacco per mirare ad altre applicazioni di Office.”