Microsoft mengakui bahwa kelemahan keamanan kritis yang baru diungkapkan di Exchange Server telah dieksploitasi secara aktif pada hari Rabu, hanya sehari setelah perbaikan untuk kerentanan tersebut dirilis sebagai bagian dari pembaruan Patch Tuesday. Kelemahan ini diketahui sebagai CVE-2024-21410 dengan skor CVSS: 9.8, dan tergolong sebagai kasus peningkatan hak istimewa yang berdampak pada Server Exchange.
Dalam nasihat yang diterbitkan minggu ini, Microsoft menjelaskan bahwa penyerang dapat menargetkan klien NTLM seperti Outlook dengan kerentanan tipe kebocoran kredensial NTLM. Kredensial yang bocor dapat diteruskan ke server Exchange, memungkinkan penyerang mendapatkan hak istimewa sebagai klien korban dan melakukan operasi di server Exchange atas nama korban.
Eksploitasi kelemahan ini dapat memungkinkan penyerang menyampaikan hash Net-NTLMv2 pengguna yang bocor ke Server Exchange yang rentan dan mengautentikasi sebagai pengguna, seperti yang dijelaskan oleh Redmond.
Microsoft telah mengaktifkan Perlindungan Diperpanjang untuk Otentikasi (EPA) secara default dengan pembaruan Pembaruan Kumulatif Exchange Server 2019 14 (CU14), serta merevisi Penilaian Eksploitasinya menjadi "Eksploitasi Terdeteksi".
Detail mengenai sifat eksploitasi dan identitas pelaku ancaman yang mungkin memanfaatkan kelemahan tersebut masih belum diketahui, meskipun kelompok peretas yang berafiliasi dengan negara Rusia, seperti APT28, memiliki sejarah mengeksploitasi kelemahan di Microsoft Outlook untuk melakukan serangan relai NTLM.
Trend Micro sebelumnya mengindikasikan serangan relai NTLM yang menargetkan entitas bernilai tinggi setidaknya sejak April 2022. Intrusi tersebut ditujukan kepada organisasi yang berurusan dengan urusan luar negeri, energi, pertahanan, transportasi, serta bidang lainnya seperti perburuhan, kesejahteraan sosial, keuangan, peran sebagai orang tua, dan dewan kota setempat.
Selain CVE-2024-21410, Microsoft juga memperbaiki dua kelemahan Windows lainnya – CVE-2024-21351 dan CVE-2024-21412 – yang telah aktif dimanfaatkan di dunia nyata. CVE-2024-21412, sebuah bug yang memungkinkan bypass perlindungan Windows SmartScreen, telah dikaitkan dengan ancaman persisten tingkat lanjut yang dikenal sebagai Water Hydra atau DarkCasino.
Pembaruan Patch Tuesday juga mengatasi CVE-2024-21413, sebuah kelemahan penting lainnya yang memengaruhi perangkat lunak email Outlook dan dapat mengakibatkan eksekusi kode jarak jauh dengan mengabaikan langkah-langkah keamanan seperti Tampilan Terlindungi. Masalah ini, yang dikenal sebagai MonikerLink oleh Check Point, memungkinkan eksekusi kode jarak jauh dan dapat melewati Office Protected View ketika digunakan sebagai vektor serangan untuk menargetkan aplikasi Office lainnya.
Source: https://thehackernews.com/2024/02/critical-exchange-server-flaw-cve-2024.html
Dalam nasihat yang diterbitkan minggu ini, Microsoft menjelaskan bahwa penyerang dapat menargetkan klien NTLM seperti Outlook dengan kerentanan tipe kebocoran kredensial NTLM. Kredensial yang bocor dapat diteruskan ke server Exchange, memungkinkan penyerang mendapatkan hak istimewa sebagai klien korban dan melakukan operasi di server Exchange atas nama korban.
Eksploitasi kelemahan ini dapat memungkinkan penyerang menyampaikan hash Net-NTLMv2 pengguna yang bocor ke Server Exchange yang rentan dan mengautentikasi sebagai pengguna, seperti yang dijelaskan oleh Redmond.
Microsoft telah mengaktifkan Perlindungan Diperpanjang untuk Otentikasi (EPA) secara default dengan pembaruan Pembaruan Kumulatif Exchange Server 2019 14 (CU14), serta merevisi Penilaian Eksploitasinya menjadi "Eksploitasi Terdeteksi".
Detail mengenai sifat eksploitasi dan identitas pelaku ancaman yang mungkin memanfaatkan kelemahan tersebut masih belum diketahui, meskipun kelompok peretas yang berafiliasi dengan negara Rusia, seperti APT28, memiliki sejarah mengeksploitasi kelemahan di Microsoft Outlook untuk melakukan serangan relai NTLM.
Trend Micro sebelumnya mengindikasikan serangan relai NTLM yang menargetkan entitas bernilai tinggi setidaknya sejak April 2022. Intrusi tersebut ditujukan kepada organisasi yang berurusan dengan urusan luar negeri, energi, pertahanan, transportasi, serta bidang lainnya seperti perburuhan, kesejahteraan sosial, keuangan, peran sebagai orang tua, dan dewan kota setempat.
Selain CVE-2024-21410, Microsoft juga memperbaiki dua kelemahan Windows lainnya – CVE-2024-21351 dan CVE-2024-21412 – yang telah aktif dimanfaatkan di dunia nyata. CVE-2024-21412, sebuah bug yang memungkinkan bypass perlindungan Windows SmartScreen, telah dikaitkan dengan ancaman persisten tingkat lanjut yang dikenal sebagai Water Hydra atau DarkCasino.
Pembaruan Patch Tuesday juga mengatasi CVE-2024-21413, sebuah kelemahan penting lainnya yang memengaruhi perangkat lunak email Outlook dan dapat mengakibatkan eksekusi kode jarak jauh dengan mengabaikan langkah-langkah keamanan seperti Tampilan Terlindungi. Masalah ini, yang dikenal sebagai MonikerLink oleh Check Point, memungkinkan eksekusi kode jarak jauh dan dapat melewati Office Protected View ketika digunakan sebagai vektor serangan untuk menargetkan aplikasi Office lainnya.
Source: https://thehackernews.com/2024/02/critical-exchange-server-flaw-cve-2024.html