{"id":1185889,"date":"2024-02-15T07:24:21","date_gmt":"2024-02-15T07:24:21","guid":{"rendered":"https:\/\/teknomers.com\/es\/fallo-critico-del-servidor-exchange-cve-2024-21410-bajo-explotacion-activa\/"},"modified":"2024-02-15T07:24:25","modified_gmt":"2024-02-15T07:24:25","slug":"fallo-critico-del-servidor-exchange-cve-2024-21410-bajo-explotacion-activa","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/fallo-critico-del-servidor-exchange-cve-2024-21410-bajo-explotacion-activa\/","title":{"rendered":"Fallo cr\u00edtico del servidor Exchange (CVE-2024-21410) bajo explotaci\u00f3n activa"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>15 de febrero de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Inteligencia de amenazas\/vulnerabilidad<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Microsoft reconoci\u00f3 el mi\u00e9rcoles que una falla de seguridad cr\u00edtica recientemente revelada en Exchange Server ha sido explotada activamente, un d\u00eda despu\u00e9s de que public\u00f3 correcciones para la vulnerabilidad como parte de sus actualizaciones del martes de parches.<\/p>\n

Seguimiento como CVE-2024-21410<\/strong> (Puntuaci\u00f3n CVSS: 9,8), el problema se ha descrito como un caso de escalada de privilegios que afecta a Exchange Server.<\/p>\n

“Un atacante podr\u00eda apuntar a un cliente NTLM como Outlook con una vulnerabilidad del tipo de fuga de credenciales NTLM”, dijo la empresa. dicho<\/a> en un aviso publicado esta semana.<\/p>\n

“Las credenciales filtradas pueden luego transmitirse al servidor Exchange para obtener privilegios como cliente v\u00edctima y realizar operaciones en el servidor Exchange en nombre de la v\u00edctima”.<\/p>\n

\"La<\/a><\/center><\/div>\n

La explotaci\u00f3n exitosa de la falla podr\u00eda permitir a un atacante transmitir el hash Net-NTLMv2 filtrado de un usuario contra un servidor Exchange susceptible y autenticarse como usuario, agreg\u00f3 Redmond.<\/p>\n

El gigante tecnol\u00f3gico, en una actualizaci\u00f3n de su bolet\u00edn, revis\u00f3 su Evaluaci\u00f3n de Explotaci\u00f3n a “Explotaci\u00f3n detectada”, y se\u00f1al\u00f3 que ahora tiene activado<\/a> Protecci\u00f3n extendida para autenticaci\u00f3n (EPA<\/a>) de forma predeterminada con la actualizaci\u00f3n de Exchange Server 2019 Cumulative Update 14 (CU14).<\/p>\n

Actualmente se desconocen los detalles sobre la naturaleza de la explotaci\u00f3n y la identidad de los actores de amenazas que pueden estar abusando de la falla. Sin embargo, los equipos de pirater\u00eda afiliados al estado ruso, como APT28 (tambi\u00e9n conocido como Forest Blizzard), tienen un historial de explotaci\u00f3n de fallas en Microsoft Outlook para organizar ataques de retransmisi\u00f3n NTLM.<\/p>\n

A principios de este mes, Trend Micro implic\u00f3 al adversario en ataques de retransmisi\u00f3n NTLM dirigidos a entidades de alto valor al menos desde abril de 2022. Las intrusiones se dirigieron a organizaciones que se ocupan de asuntos exteriores, energ\u00eda, defensa y transporte, as\u00ed como a aquellas involucradas con el trabajo y el bienestar social. , finanzas, paternidad y ayuntamientos locales.<\/p>\n

\"Fallo<\/a><\/div>\n

CVE-2024-21410 se suma a otras dos fallas de Windows: CVE-2024-21351 (puntuaci\u00f3n CVSS: 7,6) y CVE-2024-21412 (puntuaci\u00f3n CVSS: 8,1), que Microsoft parch\u00f3 esta semana y se ha convertido en un arma activa en la realidad. ataques mundiales.<\/p>\n

La explotaci\u00f3n de CVE-2024-21412, un error que permite eludir las protecciones de Windows SmartScreen, se ha atribuido a una amenaza persistente avanzada denominada Water Hydra (tambi\u00e9n conocida como DarkCasino), que anteriormente aprovech\u00f3 los d\u00edas cero en WinRAR para implementar el troyano DarkMe. .<\/p>\n

“El grupo utiliz\u00f3 accesos directos a Internet disfrazados de una imagen JPEG que, cuando el usuario los selecciona, permite al actor de amenazas explotar CVE-2024-21412”, dijo Trend Micro. “El grupo puede entonces eludir Microsoft Defender SmartScreen y comprometer completamente el host de Windows como parte de su cadena de ataque”.<\/p>\n

\"La<\/a><\/center><\/div>\n

La actualizaci\u00f3n Patch Tuesday de Microsoft tambi\u00e9n aborda CVE-2024-21413, otra deficiencia cr\u00edtica que afecta al software de correo electr\u00f3nico Outlook y que podr\u00eda resultar en la ejecuci\u00f3n remota de c\u00f3digo al eludir trivialmente medidas de seguridad como la Vista Protegida.<\/p>\n

El problema, cuyo nombre en clave es MonikerLink de Check Point, “permite un impacto amplio y grave, que va desde la filtraci\u00f3n de informaci\u00f3n de credenciales NTLM locales hasta la ejecuci\u00f3n de c\u00f3digo arbitrario”.<\/p>\n

La vulnerabilidad surge del an\u00e1lisis incorrecto de los hiperv\u00ednculos “file:\/\/” al agregar un signo de exclamaci\u00f3n a las URL que apuntan a cargas \u00fatiles arbitrarias alojadas en servidores controlados por el atacante (por ejemplo, “file:\/\/\/\\10.10.111.111testtest .rtf!algo”).<\/p>\n

“El error no s\u00f3lo permite la filtraci\u00f3n de informaci\u00f3n NTLM local, sino que tambi\u00e9n puede permitir la ejecuci\u00f3n remota de c\u00f3digo y m\u00e1s como vector de ataque”, afirma la firma de ciberseguridad. dicho<\/a>. “Tambi\u00e9n podr\u00eda eludir la Vista protegida de Office cuando se utiliza como vector de ataque para atacar otras aplicaciones de Office”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n