[SECURITY-L] [RNP/CAIS Alerta #0137] Vulnerabilidade de elevação de privilégio no Microsoft Exchange Server

CSIRT Unicamp security em unicamp.br
Quinta Fevereiro 15 16:45:16 -03 2024 

CAIS-Alerta [15-02-2024]: Vulnerabilidade de elevação de privilégio no
Microsoft Exchange Server


Prezados(as),
O CAIS alerta a comunidade de segurança cibernética para uma
vulnerabilidade crítica divulgada pela Microsoft. Registrada como
CVE-2024-21410 e com uma pontuação CVSS de 9.8, essa falha pode permitir
que um agente malicioso obtenha privilégios elevados e execute operações no
servidor que hospeda o software Microsoft Exchange Server em nome da vítima.

Até a última revisão deste alerta, não foram identificados códigos capazes
de explorar esta vulnerabilidade.

1) Produto(s) e versões afetadas;
2) Identificadores CVE (http://cve.mitre.org);
3) Descrição da vulnerabilidade;
4) Mitigação e correções disponíveis; e
5) Mais informações.

1) Produto e versões afetadas:

Produto
Microsoft Exchange Server 2019

Versões afetadas
15.02.0 até 15.2.1544.004, impactadas pelas atualizações cumulativas 13 e
14.

2) Identificadores CVE (http://cve.mitre.org):

CVE-2024-21410

3) Descrição da vulnerabilidade:

A exploração bem-sucedida dessa vulnerabilidade pode permitir que um agente
malicioso retransmita com êxito o hash Net-NTLMv2 vazado de um usuário para
um Exchange Server vulnerável, possibilitando a autenticação como o
usuário. Isso pode resultar na realização de operações no servidor Exchange
em nome da vítima.

4) Mitigação e correções disponíveis:

Para mitigar a vulnerabilidade, ative a Proteção Estendida (EP) usando a
configuração CU14 nos servidores Exchange 2019. Em outras versões do
Exchange com suporte, ativar o EP resolve o CVE em questão. Recomenda-se
fortemente aplicar as atualizações fornecidas pelo fabricante
disponibilizadas em:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21410.

5) Mais informações:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21410
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-2024-h1-cumulative-update-for-exchange-server/ba-p/4047506
https://learn.microsoft.com/en-us/exchange/plan-and-deploy/post-installation-tasks/security-best-practices/exchange-extended-protection
https://microsoft.github.io/CSS-Exchange/Security/ExchangeExtendedProtectionManagement/
https://learn.microsoft.com/en-us/iis/configuration/system.webserver/security/authentication/windowsauthentication/extendedprotection/
https://thehackernews.com/2024/02/critical-exchange-server-flaw-cve-2024.html
https://www.bleepingcomputer.com/news/security/microsoft-new-critical-exchange-bug-exploited-as-zero-day/#google_vignette

O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.

Os alertas do CAIS também podem ser acompanhados pelas redes sociais da
RNP. Siga-nos!!
Twitter: @caisRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       https://www.rnp.br/sistema-rnp/cais   #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponível   https://www.rnp.br/cais/cais-pgp.key  #
################################################################
===
Computer Security Incident Response Team - CSIRT
Universidade Estadual de Campinas - Unicamp
Centro de Computacao - CCUEC
GnuPG Public Key: http://www.security.unicamp.br/security.asc [^]
Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://www.listas.unicamp.br/pipermail/security-l/attachments/20240215/f93249a5/attachment.html>

Mais detalhes sobre a lista de discussão SECURITY-L