El miércoles, Microsoft confirmó que una vulnerabilidad crítica recientemente revelada en Exchange Server está siendo activamente explotada en la naturaleza.
Esta vulnerabilidad, conocida como CVE-2024-21410 y con una puntuación CVSS de 9.8, se ha descrito como una escalada de privilegios que afecta a Exchange Server.
La compañía advirtió que un atacante podría apuntar a un cliente NTLM como Outlook utilizando una vulnerabilidad de fuga de credenciales NTLM. Esto significa que las credenciales filtradas podrían transmitirse al servidor Exchange para obtener privilegios y realizar operaciones en nombre de la víctima.
Microsoft actualizó su boletín de seguridad para indicar que la explotación de la vulnerabilidad ha sido detectada y habilitó la Protección Extendida para la Autenticación (EPA) de forma predeterminada con la actualización acumulativa 14 (CU14) de Exchange Server 2019.
Aunque aún no se conocen los detalles sobre la naturaleza exacta de la explotación ni la identidad de los actores de amenazas que podrían estar aprovechando la falla, existen sospechas sobre grupos de piratería afiliados al estado ruso, como APT28 (también conocido como Forest Blizzard), que tienen antecedentes en la explotación de fallas en Microsoft Outlook para llevar a cabo ataques de retransmisión NTLM.
Esta vulnerabilidad crítica, junto con otras dos fallas de Windows (CVE-2024-21351 y CVE-2024-21412) parcheadas por Microsoft en la misma semana, representan riesgos significativos para la seguridad cibernética. CVE-2024-21412, en particular, ha sido explotada activamente y está relacionada con la elusión de las protecciones de Windows SmartScreen.
CVE-2024-21413, otra deficiencia crítica abordada por Microsoft en su actualización del martes de parches, afecta al software de correo electrónico Outlook y puede permitir la ejecución remota de código al eludir medidas de seguridad como la Vista Protegida.
Trend Micro también ha implicado a un grupo de amenazas persistente avanzada denominado Water Hydra (también conocido como DarkCasino) en la explotación de CVE-2024-21412. Este grupo ha utilizado accesos directos a Internet disfrazados de imágenes JPEG para comprometer hosts de Windows al eludir Microsoft Defender SmartScreen.
fuente:thehackernews