Hàng chục nghìn máy chủ Exchange có nguy cơ bị khai thác lỗ hổng leo thang đặc quyền

- Theo thông tin từ Trung tâm Giám sát an toàn không gian mạng quốc gia, các máy chủ Microsoft Exchange có thể dễ bị tấn công trước lỗ hổng leo thang đặc quyền nghiêm trọng có định danh CVE-2024-21410 mà tin tặc đang lạm dụng khai thác trong thực tế.

Microsoft đã giải quyết vấn đề này vào ngày 13 tháng 2, khi nó đã bị khai thác dưới dạng zero-day. Hiện tại, 28.500 máy chủ đã được xác định là dễ bị tấn công.

Exchange Server được sử dụng rộng rãi trong môi trường doanh nghiệp để hỗ trợ giao tiếp và cộng tác giữa những người dùng, cung cấp các dịch vụ email, lịch, quản lý liên hệ và quản lý tác vụ.

Sự cố bảo mật cho phép các tác nhân đe dọa không cần xác thực thực hiện các cuộc tấn công phát lại NTLM (NTLM relay) trên Máy chủ Microsoft Exchange và leo thang đặc quyền của họ trên hệ thống.

Hôm qua, dịch vụ giám sát mối đe dọa Shadowserver cho biết rằng hệ thống quét của họ đã xác định được khoảng 97.000 máy chủ có khả năng bị tấn công. Trong tổng số này, trạng thái dễ bị tấn công của khoảng 68.500 máy chủ phụ thuộc vào việc liệu quản trị viên có áp dụng các biện pháp giảm thiểu hay không, 28.500 máy chủ còn lại được xác định là dễ bị tấn công bởi CVE-2024-21410.

Các quốc gia bị ảnh hưởng nhiều nhất là Đức (22.903 trường hợp), Mỹ (19.434), Vương quốc Anh (3.665), Pháp (3.074), Áo (2.987), Nga (2.771), Canada (2.554) và Thụy Sĩ (2.119) .

Hiện tại, chưa có mã khai thác (PoC) nào được công khai cho CVE-2024-21410, điều này phần nào hạn chế số lượng kẻ tấn công lạm dụng lỗ hổng trong các cuộc tấn công.

Để giải quyết CVE-2024-21410, quản trị viên nên áp dụng bản cập nhật Exchange Server 2019 Cumulative Update 14 (CU14) được phát hành trong Bản vá Patch Tuesday tháng 2 năm 2024.

Cơ quan An ninh mạng và cơ sở hạ tầng Mỹ (CISA) cũng đã thêm CVE-2024-21410 vào danh mục Các lỗ hổng bị khai thác đã biết

Việc khai thác CVE-2024-21410 có thể gây ra hậu quả nghiêm trọng cho một tổ chức vì những kẻ tấn công có các đặc quyền nâng cao trên Máy chủ Exchange có thể truy cập các dữ liệu bí mật như nội dung email và sử dụng máy chủ làm bàn đạp cho các cuộc tấn công sâu hơn trong mạng.