До 97 000 серверов Exchange могут быть уязвимы для критической уязвимости под кодовым обозначением CVE-2024-21410 , о которой мы уже рассказывали несколько дней назад.
Уязвимость позволяет неаутентифицированным удалённым злоумышленникам проводить атаки типа NTLM Relay на серверы Microsoft Exchange и повышать свои привилегии в системе.
Exchange Server широко используется в бизнес-средах для облегчения коммуникации и сотрудничества между пользователями, предоставляя услуги электронной почты, календаря, управления контактами и задачами.
Компания Microsoft устранила вышеописанную уязвимость 13 февраля, когда она уже вовсю использовалась как zero-day. А вчера, 19 февраля, служба мониторинга угроз Shadowserver объявила , что её сканеры выявили около 97 000 потенциально уязвимых серверов. 68 500 из них могут быть уязвимы в зависимости от того, применили ли администраторы меры по смягчению последствий, а непосредственно 28 500 серверов уязвимы для прямой эксплуатации CVE-2024-21410.
Страны, которые хакерские атаки затронут сильнее всего, следующие:
- Германия – 22 903 сервера;
- Соединенные Штаты – 19 434 сервера;
- Великобритания – 3 665 серверов;
- Франция – 3 074 сервера;
- Австрия – 2 987 серверов;
- Россия – 2 771 сервер;
- Канада – 2 554 сервера;
- Швейцария – 2 119 серверов.
В настоящее время для CVE-2024-21410 нет общедоступного PoC-эксплойта, что в некоторой степени ограничивает количество атакующих, использующих эту уязвимость.
Для устранения CVE-2024-21410 администраторам систем рекомендуется применить обновление Cumulative Update 14 (CU14) для Exchange Server 2019, выпущенное в рамках последнего обновления Patch Tuesday , которое включает защиту от перехвата учётных данных NTLM.
Агентство кибербезопасности и инфраструктурной безопасности США (CISA) также добавилоCVE-2024-21410 в свой каталог “Известных эксплуатируемых уязвимостей” (KEV), предоставив федеральным агентствам срок до 7 марта 2024 года для применения доступных обновлений, смягчающих мер или прекращения использования продукта.
Эксплуатация CVE-2024-21410 может иметь серьёзные последствия для организаций, поскольку атакующие с повышенными правами на сервере Exchange могут получить доступ к конфиденциальным данным, таким как электронная почта, и использовать сервер в качестве плацдарма для дальнейших атак на сеть.
Если ваша организация использует Exchange Server, медлить с обновлением не стоит, ведь с выходом общедоступного PoC ситуация станет куда серьёзнее, чем есть сейчас.