Ngày 14/02/2024 Microsoft đã cảnh báo một lỗ hổng nghiêm trọng trong Exchange Server đã bị khai thác dưới dạng zero-day trước khi được vá trong bản cập nhật Patch Tuesday của tháng hai.
Được phát hiện trong nội bộ và có mã định danh là CVE-2024-21410, lỗ hổng bảo mật này có thể cho phép các tác nhân đe dọa chưa được xác thực từ xa leo thang đặc quyền trong các cuộc tấn công chuyển tiếp NTLM nhắm vào các phiên bản Microsoft Exchange Server dễ bị tấn công.
Trong các cuộc tấn công, kẻ đe dọa buộc một thiết bị mạng (bao gồm máy chủ hoặc domain controller) xác thực với máy chủ chuyển tiếp NTLM dưới sự kiểm soát của chúng để mạo danh các thiết bị được nhắm mục tiêu và nâng cao đặc quyền.
Microsoft giải thích: “Kẻ tấn công có thể nhắm mục tiêu vào máy khách NTLM như Outlook với lỗ hổng rò rỉ thông tin xác thực NTLM”.
“Các thông tin đăng nhập bị rò rỉ sau đó có thể được chuyển tiếp tới máy chủ Exchange để giành được các đặc quyền với tư cách là máy người dùng và thực hiện các hoạt động trên máy chủ Exchange.
“Kẻ tấn công khai thác thành công lỗ hổng này có thể chuyển tiếp hash Net-NTLMv2 bị rò rỉ của người dùng sang Máy chủ Exchange dễ bị tấn công và xác thực là người dùng.”
Biện pháp giảm thiểu qua Exchange Extended Protection
Microsoft lần đầu tiên giới thiệu tính năng hỗ trợ Exchange Server EP vào tháng 8 năm 2022 và một năm sau đó họ thông báo rằng EP sẽ được bật mặc định trên tất cả các máy chủ Exchange sau khi triển khai CU14.
Ngày 14/02/2024 công ty đã thông báo rằng EP sẽ được bật mặc định trên tất cả các máy chủ Exchange sau khi cài đặt Bản cập nhật tích lũy H1 2024 của tháng 02/2024 (còn gọi là CU14).
Quản trị viên cũng có thể sử dụng tập lệnh Exchange Extended Protection Quản lý PowerShell để kích hoạt EP trên các phiên bản trước của Exchange Server, chẳng hạn như Exchange Server 2016. Điều này cũng sẽ bảo vệ hệ thống của họ trước các cuộc tấn công nhắm mục tiêu vào các thiết bị chưa được vá chống lại CVE-2024-21410.
Tuy nhiên, trước khi chuyển đổi EP trên máy chủ Exchange, quản trị viên nên đánh giá môi trường của họ và xem xét các vấn đề được đề cập trong tài liệu của Microsoft về tập lệnh chuyển đổi EP để tránh làm hỏng chức năng.