Over 28.500 Exchange-servere sårbare over for aktivt udnyttet fejl

Sårbarheden gør det muligt for eksterne uautoriserede aktører at udføre NTLM-relayangreb.

I øjeblikket er 28.500 servere blevet identificeret som værende sårbare over for en alvorlig eskaleringsfejl, der er under aktiv udnyttelse.

Det skriver Bleeping Computer.

Det drejer sig om en sårbarhed med id-nummeret CVE-2024-21410 og en score på 9,8 på CVSS-skalaen.

Fejlen blev rettet af Microsoft i forbindelse med Patch Tuesday den 13. februar, men da var den allerede under udnyttelse som en 0-dagssårbarhed. Sårbarheden gør det muligt for eksterne uautoriserede aktører at udføre NTLM- relayangreb på Microsoft Exchange-servere og eskalere deres privilegier på systemet.

Bleeping Computer skriver med henvisning til Shadowservers tal, at op mod 97.000 Microsoft Exchange-servere faktisk kan være sårbare. Ud af disse afhænger den sårbare tilstand for anslået 68.500 servere af, om administratorer har implementeret mitigerende foranstaltninger, mens resten, dvs. 28.500, er bekræftet som værende sårbare over for CVE-2024-21410.

De fleste af disse servere findes i Tyskland (22.903 tilfælde), USA (19.434), Storbritannien (3.665), Frankrig (3.074), Østrig (2.987), Rusland (2.771), Canada (2.554) og Schweiz (2.119).

I øjeblikket er der ingen offentligt tilgængelig proof-of-concept (PoC) udnyttelse til CVE-2024-21410, hvilket begrænser antallet af angribere, der bruger fejlen i angreb. Men praksis er, at en PoC oftest bliver offentlig tilgængelig, når førsteangriberne skal have den sidste fortjeneste ud af deres PoC.

Det anbefales, at systemadministratorer implementerer Exchange Server 2019 Cumulative Update 14 (CU14)-opdateringen, der blev udgivet i løbet af Patch Tuesday i februar.  

CISA har føjede CVE-2024-21410 til sit 'Known Exploited Vulnerabilities'-katalog den 15. februar med deadline for håndtering den 7. marts.

Links:

https://www.bleepingcomputer.com/news/security/over-28-500-exchange-serv...