Microsoft Exchange: Nova vulnerabilidade pode afetar 97.000 servidores

33,8K

Há mais de 28.000 servidores Microsoft Exchange acessíveis pela Internet afetados por uma vulnerabilidade de dia zero CVE-2024-21410 recentemente divulgada. Alerta efetuado pela organização de segurança cibernética sem fins lucrativos The Shadowserver Foundation na segunda-feira.

68.000 servidores Microsoft Exchange podem estar vulneráveis.

Aproximadamente 68.000 outras instâncias do Exchange são consideradas “possivelmente” vulneráveis, o que significa que elas têm atenuações instaladas. A soma eleva o total de servidores potencialmente exploráveis para cerca de 97.000, diz a Shadowserver.

A vulnerabilidade CVE-2024-21410 possui classificação crítica

A vulnerabilidade, rastreada como CVE-2024-21410 (pontuação CVSS de 9,8). É uma falha de escalonamento de privilégios que leva a ataques pass-the-hash, permitindo que um invasor retransmita o hash Net-NTLMv2 de um usuário em um servidor vulnerável e se autentique como esse usuário.

De acordo com a Microsoft, o problema existe porque o Exchange Server 2019 não possui, ativada por padrão:

1. Proteção de retransmissão de credenciais NTLM
2. Proteção Estendida para Autenticação (EPA).

Microsoft já lançou uma correção para a CVE-2024-21410

Em 13 de fevereiro, a Microsoft lançou correções para 72 vulnerabilidades, incluindo a CVE-2024-21410 do Microsoft Exchange. Em um post a equipe do Exchange pede os clientes que atualizassem para o Exchange Server 2019 Cumulative Update 14 (CU14).

No dia seguinte, a Microsoft atualizou seu aviso para sinalizar o defeito de segurança como explorado. Pouco tempo depois, a agência de segurança cibernética dos EUA, CISA, adicionou o bug ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas.

Não há informações disponíveis sobre os ataques que exploram essa vulnerabilidade.

De que forma o invasor pode explorar essa vulnerabilidade?

Um invasor pode direcionar um cliente NTLM, como o Outlook, com uma vulnerabilidade do tipo vazamento de credenciais NTLM. As credenciais vazadas podem então ser retransmitidas para o servidor Exchange a fim de obter privilégios como o cliente vítima e para realizar operações no servidor Exchange em nome da vítima. Para obter mais informações sobre o suporte do Exchange Server a EPA, consulte Configurar a Proteção Estendida do Windows no Exchange Server.

A fundação Shadowserver rastreou milhares de servidores Microsoft Exchange

Over the weekend we started reporting Microsoft Exchange versions vulnerable to CVE-2024-21410. On 2024-02-17 around 97K vulnerable or possibly vulnerable where the latter means a vulnerable version but may have mitigation applied. Microsoft guidance: https://t.co/fCGxmZvYCS pic.twitter.com/6c9YwEe7HF

— Shadowserver (@Shadowserver) February 19, 2024

Na segunda-feira, a Shadowserver anunciou que começou a rastrear instâncias do Microsoft Exchange vulneráveis à CVE-2024-21410. Em 17 de fevereiro, já havia rastreado cerca de 97.000 servidores vulneráveis ou possivelmente vulneráveis.

De acordo com o Shadowserver, qualquer servidor Exchange versão 15.2.1118.12 ou anterior é considerado vulnerável. Enquanto as versões 15.2.1118.12, 15.2.986.29, 15.1.2507.31 e 15.2.1258.x e posteriores são consideradas possivelmente vulneráveis, pois podem ter mitigações em vigor.

Alemanha, EUA e Reino Unido são os países que mais tem servidores potencialmente vulneráveis.

Com base nos endereços IP observados, o maior número de servidores Exchange potencialmente vulneráveis estão nos seguintes países:

1. Alemanha (25.000)
2. EUA (22.000)
3. Reino Unido (4.000).

Deve-se observar também que os resultados não fazem distinção entre instâncias reais e honeypots. Em alguns casos, podem representar a maioria das instâncias identificadas expostas na Internet, como demonstrou o VulnCheck no início deste mês.

Corrija o quanto antes a vulnerabilidade de seus servidores Microsoft Exchange

Independentemente do número real de servidores Microsoft Exchange vulneráveis, a exploração ativa do CVE-2024-21410 exige uma ação urgente das organizações, que começa com a identificação dos sistemas potencialmente afetados e a aplicação das atenuações e correções disponíveis o mais rápido possível.

“Sem a visibilidade completa do inventário de ativos, mesmo as equipes de segurança mais ágeis não podem corrigir uma vulnerabilidade de um ativo que não sabem que está conectado à rede. Um inventário de ativos preciso e atualizado na base de seu programa de segurança é essencial para mitigar esses tipos de riscos”, destaca o CSO da Sevco Security, Brian Contos, em um comentário enviado por e-mail.

Veja também Microsoft confirma 2 novas falhas de zero-day do Exchange Server