CVE-2024-21410: до 97 000 серверов Exchange в красной зоне

До 97 000 серверов Exchange могут быть уязвимы для критической уязвимости под кодовым обозначением CVE-2024-21410 , о которой мы уже рассказывали несколько дней назад.

Уязвимость позволяет неаутентифицированным удалённым злоумышленникам проводить атаки типа NTLM Relay на серверы Microsoft Exchange и повышать свои привилегии в системе.

Exchange Server широко используется в бизнес-средах для облегчения коммуникации и сотрудничества между пользователями, предоставляя услуги электронной почты, календаря, управления контактами и задачами.

Компания Microsoft устранила вышеописанную уязвимость 13 февраля, когда она уже вовсю использовалась как zero-day. А вчера, 19 февраля, служба мониторинга угроз Shadowserver объявила , что её сканеры выявили около 97 000 потенциально уязвимых серверов. 68 500 из них могут быть уязвимы в зависимости от того, применили ли администраторы меры по смягчению последствий, а непосредственно 28 500 серверов уязвимы для прямой эксплуатации CVE-2024-21410.

Страны, которые хакерские атаки затронут сильнее всего, следующие:

• Германия — 22 903 сервера;
• Соединенные Штаты — 19 434 сервера;
• Великобритания — 3 665 серверов;
• Франция — 3 074 сервера;
• Австрия — 2 987 серверов;
• Россия — 2 771 сервер;
• Канада — 2 554 сервера;
• Швейцария — 2 119 серверов.

В настоящее время для CVE-2024-21410 нет общедоступного PoC-эксплойта, что в некоторой степени ограничивает количество атакующих, использующих эту уязвимость.

Для устранения CVE-2024-21410 администраторам систем рекомендуется применить обновление Cumulative Update 14 (CU14) для Exchange Server 2019, выпущенное в рамках последнего обновления Patch Tuesday , которое включает защиту от перехвата учётных данных NTLM.

Агентство кибербезопасности и инфраструктурной безопасности США (CISA) также добавило CVE-2024-21410 в свой каталог «Известных эксплуатируемых уязвимостей» (KEV), предоставив федеральным агентствам срок до 7 марта 2024 года для применения доступных обновлений, смягчающих мер или прекращения использования продукта.

Эксплуатация CVE-2024-21410 может иметь серьёзные последствия для организаций, поскольку атакующие с повышенными правами на сервере Exchange могут получить доступ к конфиденциальным данным, таким как электронная почта, и использовать сервер в качестве плацдарма для дальнейших атак на сеть.

Если ваша организация использует Exchange Server, медлить с обновлением не стоит, ведь с выходом общедоступного PoC ситуация станет куда серьёзнее, чем есть сейчас.