Microsoft Exchange: More Than 90,000 Servers at Risk of Critical Flaw Exploitation

More than 90,000 Microsoft Exchange servers are currently vulnerable to a critical flaw known as CVE-2024-21410. This privilege escalation vulnerability has caught the attention of hackers who are taking advantage of the situation.

Although Microsoft addressed the issue on February 13th, it had already been utilized as a zero-day exploit. As of now, approximately 28,500 servers have been identified as vulnerable to CVE-2024-21410.

Microsoft Exchange Server is widely used in business environments to streamline communication and collaboration among users, providing essential services such as email, calendar management, contact management, and task management.

The security flaw in question allows remote unauthenticated actors to carry out NTLM relay attacks on Microsoft Exchange servers, effectively escalating their privileges within the system. This vulnerability raises concerns regarding the security and confidentiality of email communications and also poses a potential risk for further network attacks.

According to the threat monitoring service, Shadowserver, approximately 97,000 servers have been identified as potentially vulnerable to the CVE-2024-21410 flaw. Out of this total, an estimated 68,500 servers may be vulnerable depending on whether the administrators have implemented mitigations. Meanwhile, a confirmed 28,500 servers are currently deemed vulnerable.

The countries most affected by this vulnerability include Germany, with 22,903 instances, followed by the United States with 19,434 instances, and the United Kingdom with 3,665 instances. Other affected countries include France, Austria, Russia, Canada, and Switzerland.

At present, no publicly available proof-of-concept (PoC) exploit exists for CVE-2024-21410. However, system administrators are strongly advised to install the Exchange Server 2019 Cumulative Update 14 (CU14) released during the February 2024 Patch Tuesday. This update enables NTLM credentials Relay Protections, mitigating the risks associated with the vulnerability.

In response to the seriousness of this flaw, the U.S. Cybersecurity & Infrastructure Security Agency (CISA) has included CVE-2024-21410 in its ‘Known Exploited Vulnerabilities’ catalog. Federal agencies have until March 7, 2024, to apply the available updates and mitigations or to discontinue the use of the product.

It is crucial for organizations to take immediate action to address CVE-2024-21410, as the exploitation of this vulnerability can have severe consequences. Attackers who exploit this flaw can potentially access confidential data and use the compromised server as a launching pad for further network attacks.

Más de 90,000 servidores de Microsoft Exchange son actualmente vulnerables a una falla crítica conocida como CVE-2024-21410. Esta vulnerabilidad de escalación de privilegios ha llamado la atención de los hackers que están aprovechando la situación.

Aunque Microsoft solucionó el problema el 13 de febrero, ya se había utilizado como un exploit de día cero. Hasta ahora, se han identificado aproximadamente 28,500 servidores como vulnerables a CVE-2024-21410.

Microsoft Exchange Server se utiliza ampliamente en entornos empresariales para agilizar la comunicación y colaboración entre usuarios, proporcionando servicios esenciales como correo electrónico, gestión de calendarios, gestión de contactos y gestión de tareas.

La falla de seguridad en cuestión permite a actores remotos no autenticados llevar a cabo ataques de retransmisión NTLM en los servidores de Microsoft Exchange, escalando efectivamente sus privilegios dentro del sistema. Esta vulnerabilidad plantea preocupaciones en cuanto a la seguridad y confidencialidad de las comunicaciones por correo electrónico y también supone un riesgo potencial para nuevos ataques en la red.

Según el servicio de monitoreo de amenazas Shadowserver, se han identificado aproximadamente 97,000 servidores como potencialmente vulnerables a la falla CVE-2024-21410. De este total, se estima que 68,500 servidores podrían ser vulnerables dependiendo de si los administradores han implementado mitigaciones. Mientras tanto, se considera que 28,500 servidores son actualmente vulnerables.

Los países más afectados por esta vulnerabilidad incluyen Alemania, con 22,903 instancias, seguido de Estados Unidos con 19,434 instancias y Reino Unido con 3,665 instancias. Otros países afectados incluyen Francia, Austria, Rusia, Canadá y Suiza.

Actualmente, no existe una prueba de concepto (PoC) de explotación públicamente disponible para CVE-2024-21410. Sin embargo, se recomienda encarecidamente a los administradores del sistema que instalen la Actualización acumulativa 14 (CU14) de Exchange Server 2019 lanzada durante el “Patch Tuesday” de febrero de 2024. Esta actualización habilita las Protecciones de retransmisión de credenciales NTLM, mitigando los riesgos asociados con la vulnerabilidad.

En respuesta a la gravedad de esta falla, la Agencia de Seguridad Cibernética e Infraestructura de Estados Unidos (CISA, por sus siglas en inglés) ha incluido CVE-2024-21410 en su catálogo de ‘Vulnerabilidades conocidas explotadas’. Las agencias federales tienen hasta el 7 de marzo de 2024 para aplicar las actualizaciones y mitigaciones disponibles o dejar de utilizar el producto.

Es crucial que las organizaciones tomen medidas inmediatas para abordar CVE-2024-21410, ya que la explotación de esta vulnerabilidad puede tener consecuencias graves. Los atacantes que aprovechan esta falla pueden acceder potencialmente a datos confidenciales y utilizar el servidor comprometido como plataforma de lanzamiento para otros ataques en la red.

Hacker reagiert auf "Das passiert, wenn Hacker Atomkraftwerke angreifen wollen" von MrWissen2Go