Avis sur les menaces de cybersécurité : exploitation active d'une vulnérabilité de Microsoft

Microsoft a annoncé qu'une faille de sécurité récemment divulguée avait été exploitée, un jour seulement après la publication de correctifs pour cette vulnérabilité. CVE-2024-21410, une vulnérabilité d'Exchange Server, avec un score CVSS de 9.8, permet aux acteurs malveillants d'élever les privilèges du serveur Exchange affecté. Lisez cet avis sur les menaces de cybersécurité pour savoir si vous êtes exposé à un risque et comment le minimiser.

Nature de la menace

CVE-2024-21410 peut permettre à des acteurs malveillants non authentifiés et à distance d'élever les privilèges dans New Technology LAN Manager (NTLM) et d'exécuter des attaques relais ciblant les versions vulnérables de Microsoft Exchange Server. Les acteurs malveillants peuvent forcer un périphérique réseau, tel qu'un serveur ou un contrôleur de domaine, à s'authentifier auprès d'un relais NTLM sous leur contrôle afin d'usurper l'identité des périphériques ciblés et d'élever leurs privilèges.

Pourquoi est-ce important ?

Si les détails précis concernant l'exploitation et l'identité des acteurs malveillants impliqués n'ont pas encore été divulgués, il est intéressant de noter l'association historique avec des groupes de pirates tels qu'APT28. Ces derniers ont l'habitude d'exploiter les vulnérabilités de Microsoft Outlook, en particulier pour organiser des attaques par relais NTLM. Ils ont récemment été liés à de telles attaques visant des entités de premier plan depuis au moins avril 2022. Ces attaques ont ciblé des organisations des secteurs des affaires étrangères, de l'énergie, de la défense, des transports, du travail, de la protection sociale, de la finance, de la parentalité et des conseils municipaux locaux.

Quel est le risque ou le degré d'exposition ?

Cette faille permet aux pirates de mener des attaques par fuite d'identifiants contre des clients NTLM tels qu'Outlook. Microsoft avertit que les identifiants divulgués peuvent être relayés vers un serveur Exchange. En cas d'exploitation réussie, l'acteur malveillant peut s'approprier les privilèges du client victime et effectuer des opérations sur le serveur Exchange.

Quelles sont les recommandations ?

Barracuda recommande les actions suivantes pour atténuer l'impact de la vulnérabilité CVE-2024-21410 :

• Mettez en œuvre la mise à jour cumulative 14 (CU14) d'Exchange Server 2019, qui inclut la protection des relais d'identifiants NTLM afin de réduire les risques liés à cette vulnérabilité.
• Utilisez le script PowerShell ExchangeExtendedProtectionManagement pour les versions antérieures à Exchange Server 2019 afin d'activer la protection étendue (EP).
• Consultez la documentation EP de Microsoft pour identifier et résoudre tout problème potentiel. Effectuez une évaluation approfondie de l'environnement avant d'activer le PE.

RÉFÉRENCES

Pour plus d'informations sur les recommandations, veuillez consulter les liens suivants :

• Microsoft : un nouveau bug critique d'Exchange est exploité en attaque zero-day (bleepingcomputer.com)
• Une faille de Microsoft Exchange Server est exploitée sous la forme d'un bug zero-day (darkreading.com)
• La faille critique de l'Exchange Server (CVE-2024-21410) est activement exploitée (thehackernews.com)

Remarque : cet article a été initialement publié sur SmarterMSP.