Microsoft a reconnu mercredi qu’une faille de sécurité critique récemment révélée dans Exchange Server avait été activement exploitée, un jour après avoir publié des correctifs pour la vulnérabilité dans le cadre de ses mises à jour du Patch Tuesday.
Suivi comme CVE-2024-21410 (score CVSS : 9,8), le problème a été décrit comme un cas d’élévation de privilèges impactant le serveur Exchange.
« Un attaquant pourrait cibler un client NTLM tel qu’Outlook avec une vulnérabilité de type fuite d’informations d’identification NTLM », indique la société. dit dans un avis publié cette semaine.
« Les informations d’identification divulguées peuvent ensuite être relayées contre le serveur Exchange pour obtenir des privilèges en tant que client victime et effectuer des opérations sur le serveur Exchange au nom de la victime. »
Une exploitation réussie de la faille pourrait permettre à un attaquant de relayer le hachage Net-NTLMv2 d’un utilisateur contre un serveur Exchange sensible et de s’authentifier en tant qu’utilisateur, a ajouté Redmond.
Le géant de la technologie, dans une mise à jour de son bulletin, a révisé son évaluation d’exploitabilité à « Exploitation détectée », notant qu’il a désormais activé Protection étendue pour l’authentification (EPA) par défaut avec la mise à jour Exchange Server 2019 Cumulative Update 14 (CU14).
Les détails sur la nature de l’exploitation et l’identité des acteurs menaçants qui pourraient exploiter la faille sont actuellement inconnus. Cependant, des équipes de hackers affiliées à l’État russe, telles qu’APT28 (alias Forest Blizzard), exploitent depuis longtemps les failles de Microsoft Outlook pour organiser des attaques par relais NTLM.
Plus tôt ce mois-ci, Trend Micro a impliqué l’adversaire dans des attaques par relais NTLM ciblant des entités de grande valeur au moins depuis avril 2022. Les intrusions ciblaient des organisations s’occupant des affaires étrangères, de l’énergie, de la défense et des transports, ainsi que celles impliquées dans le travail, la protection sociale. , les finances, la parentalité et les conseils municipaux locaux.
CVE-2024-21410 s’ajoute à deux autres failles Windows – CVE-2024-21351 (score CVSS : 7,6) et CVE-2024-21412 (score CVSS : 8,1) – qui ont été corrigées par Microsoft cette semaine et activement militarisées en réalité. attaques mondiales.
L’exploitation de CVE-2024-21412, un bug qui permet de contourner les protections Windows SmartScreen, a été attribuée à une menace persistante avancée baptisée Water Hydra (alias DarkCasino), qui a déjà exploité le zero-day dans WinRAR pour déployer le cheval de Troie DarkMe. .
« Le groupe a utilisé des raccourcis Internet déguisés en image JPEG qui, lorsqu’ils sont sélectionnés par l’utilisateur, permettent à l’acteur malveillant d’exploiter CVE-2024-21412 », a déclaré Trend Micro. « Le groupe peut alors contourner Microsoft Defender SmartScreen et compromettre entièrement l’hôte Windows dans le cadre de sa chaîne d’attaque. »
La mise à jour Patch Tuesday de Microsoft corrige également CVE-2024-21413, une autre lacune critique affectant le logiciel de messagerie Outlook qui pourrait entraîner l’exécution de code à distance en contournant trivialement les mesures de sécurité telles que la vue protégée.
Nommé de code MonikerLink par Check Point, le problème « permet un impact large et sérieux, allant de la fuite d’informations d’identification NTLM locales à l’exécution de code arbitraire ».
La vulnérabilité provient de l’analyse incorrecte des hyperliens « file:// » en ajoutant un point d’exclamation aux URL pointant vers des charges utiles arbitraires hébergées sur des serveurs contrôlés par des attaquants (par exemple, « file:///\10.10.111.111testtest .rtf!quelque chose »).
« Le bug permet non seulement la fuite des informations NTLM locales, mais il peut également permettre l’exécution de code à distance et bien plus encore comme vecteur d’attaque », a déclaré la société de cybersécurité. dit. « Il pourrait également contourner la vue protégée d’Office lorsqu’il est utilisé comme vecteur d’attaque pour cibler d’autres applications Office. »