- Lỗ hổng CVE-2024-21410 (Điểm CVSS: 9.8) là một lỗ hổng nghiêm trọng trong hệ thống, cho phép đối tượng tấn công leo thang đặc quyền trên Exchange Server.

Đối tượng tấn công có thể nhằm mục tiêu tấn công vào các client NTLM như Outlook, sử dụng lỗ hổng này để xâm nhập và thu thập thông tin đăng nhập. Điều này cho phép kẻ tấn công giả mạo quyền hạn của người dùng mục tiêu và thực hiện các hoạt động độc hại trên máy chủ Exchange Server.

Việc khai thác thành công lỗ hổng này cho phép đối tượng tấn công tái tạo hàm băm NetNTLMv2 được lấy từ người dùng và chuyển tiếp nó tới các máy chủ Exchange Server bị ảnh hưởng bởi lỗ hổng CVE-2024-21410.

Điều này giúp đối tượng tấn công có khả năng xác minh được mình là người đó. Mặc dù chi tiết về cách thức khai thác và danh tính của các kẻ tấn công vẫn chưa được làm rõ, nhưng trước đó, nhóm tấn công APT28 đã sử dụng lỗ hổng tương tự trên Microsoft Outlook để thực hiện tấn công tái tạo NTLM (NTLM relay attack).

Đồng thời, vào tháng 02/2024, Trend Micro đã ghi nhận nhóm APT28 tiếp tục tiến hành các cuộc tấn công này đối với các mục tiêu quan trọng từ tháng 04/2022. Ngoài ra, lỗ hổng CVE-2024-21410 không chỉ gây ảnh hưởng mà còn có liên kết với hai lỗ hổng khác trên hệ điều hành Windows là CVE-2024-21351 (Điểm CVSS: 7.6) và CVE-2024-21412 (Điểm CVSS: 8.1).

Cả hai lỗ hổng này đã được vá trước đó nhưng vẫn bị khai thác trong nhiều chiến dịch tấn công. Một trong số đó, lỗ hổng CVE2024-21412 cho phép bỏ qua biện pháp bảo mật của Window SmartScreen và đã được sử dụng bởi nhóm APT Water Hydra (hay DarkCasino).

Trước đó, nhóm này đã sử dụng một lỗ hổng zero-day trên WinRAR để triển khai trojan DarkMe. Trong bản vá Patch Tuesday, Microsoft cũng đã xử lý lỗ hổng CVE-2024-21413 gây ảnh hưởng tới phần mềm email Outlook. Lỗ hổng này cho phép đối tượng tấn công thực thi mã từ xa bằng cách vô hiệu hóa các biện pháp bảo mật như Protected View.

PV