مایکروسافت طی گزارشی که در چهاردهم فوریه ۲۰۲۴ به اشتراک گذاشت، اذعان داشت که به تازگی یک نقص بحرانی در سرور Exchange کشف کرده است که تاکنون به طور فعال مورد سوء استفاده قرار گرفته است.
یک روز پس از اعلام وجود آسیب پذیری، اصلاحیه ای برای این آسیب پذیری به عنوان بخشی از به روزرسانیهای Patch Tuesday منتشر شد.
این آسیب پذیری که با شناسه CVE-2024-21410 (امتیاز CVSS: 9.8) دنبال میگردد، به عنوان یک مورد ایجاد سطح دسترسی غیر مجاز در سرور Exchange توصیف شده است.
این شرکت طی اعلانیهای که در سیزدهم فوریه به اشتراک گذاشت، اظهار داشت که مهاجم میتواند کلاینت NTLM مانند Outlook را با آسیب پذیری نوع انتشار گواهی اعتبار NTLM مورد هدف قرار دهد، سپس گواهی اعتبار فاش شده خواهد توانست به سرور Exchange منتقل شود تا به عنوان کلاینت قربانی، سطح دسترسی مورد نیاز را به دست آورد و از جانب قربانی عملیاتی را در سرور Exchange به انجام رساند.
Redmond (ردموند) نیز افزود که اکسپلویت موفق این آسیب پذیری میتواند به مهاجم اجازه دهد تا هش Net-NTLMv2 افشا شده کاربر را به یک سرور Exchange حساس منتقل و به عنوان کاربر احراز هویت کند.
این غول فناوری در به روزرسانی اعلانیه خود، ارزیابی قابلیت بهره برداری از این آسیب پذیری را با کلمات «Exploitation Detected» توصیف و اشاره کرد که اکنون با به روزرسانی CU14 سرور Exchange 2019 حفاظت گسترده از احراز هویت (EPA) را به طور پیش فرض فعال کرده است.
جزئیات مربوط به ماهیت بهره برداری و هویت عوامل تهدیدی که ممکن است از این نقص سوء استفاده کنند در حال حاضر ناشناخته است. با این حال، گروه هک وابسته به دولت روسیه مانند APT28 (معروف به Forest Blizzard) سابقه سوء استفاده از نقصهای Microsoft Outlook را برای انجام حملات NTLM دارا میباشد.
Trend Micro در اوایل این ماه، مهاجم را در حملات NTLM که حداقل از آوریل 2022 تا کنون نهادهای حائز اهمیت را مورد هدف قرار می دهد، دخیل دانست. این نفوذ، سازمانهایی را که با امور خارجه، انرژی، دفاع و حمل و نقل سر و کار داشتند و همچنین سازمان هایی را که با کار، رفاه اجتماعی، امور مالی و شوراهای شهر محلی مرتبط بودند، مورد هدف قرار داده است.
آسیب پذیری CVE-2024-21410 به دو نقص دیگر ویندوز با شناسههای – CVE-2024-21351 (امتیاز CVSS: 7.6) و CVE-2024-21412 (امتیاز CVSS: 8.1) – اضافه شده است، این آسیب پذیریها در به روزرسانی patch Tuesday فوریه ۲۰۲۴ توسط مایکروسافت اصلاح شدهاند و تا کنون به طور فعال مورد سوء استفاده قرار گرفتهاند.
بهره برداری از CVE-2024-21412، باگی که دور زدن محافظتهای SmartScreen ویندوز را امکان پذیر میسازد، به یک تهدید دائمی پیشرفته به نام Water Hydra (معروف به DarkCasino) نسبت داده شده است که قبلاً از آسیب پذیری روز صفر در WinRAR به منظور استقرار تروجان DarkMe استفاده کرده است.
این به روزرسانی patch Tuesday مایکروسافت همچنین به اصلاح CVE-2024-21413 پرداخته است، نقص مهم دیگری که بر نرم افزار ایمیل Outlook تأثیر میگذارد و میتواند با دور زدن اقدامات امنیتی مانند Protected View منجر به اجرای کد از راه دور شود.
این نقص که توسط Check Point با نام MonikerLink شناخته میشود، آسیب گسترده و جدی را، از افشای اطلاعات اعتبار NTLM لوکال تا اجرای کد دلخواه ممکن میسازد.
این آسیب پذیری از تجزیه نادرست لینک های «file://» ناشی می شود و اجرای کد را با افزودن یک علامت تعجب به URLهایی که به پیلودهای دلخواه میزبانی شده در سرورهای کنترل شده توسط مهاجم اشاره میکنند، ممکن میسازد (به عنوان مثال: ” file:///\\10.10.111.111\test\test.rtf!something”).
این باگ نه تنها باعث نشت اطلاعات NTLM لوکال میشود، بلکه ممکن است امکان اجرای کد از راه دور را نیز فراهم نماید و هنگامی که به عنوان بردار حمله برای نفوذ به سایر برنامههای آفیس استفاده میشود، میتواند Office Protected View را دور بزند.
