Microsoft Exchange Server recientemente ha solucionado una grave vulnerabilidad de seguridad, CVE-2024-21410 (puntuación CVSS de 9.8), que ha sido aprovechada por atacantes en línea. CVE-2024-21410 permite a un atacante remoto no autenticado realizar un ataque de relevo NTLM, lo que le otorga mayores privilegios en el sistema y acceso a información confidencial. Según los últimos informes, hasta 97,000 servidores de Microsoft Exchange podrían verse afectados por esta vulnerabilidad, de los cuales 28,500 ya han sido confirmados como vulnerables.
Los atacantes pueden apuntar a clientes NTLM (como Outlook) y aprovechar la vulnerabilidad de filtración de credenciales NTLM para relévelas al servidor de Exchange, obteniendo así los privilegios del cliente afectado y realizando acciones en el servidor en nombre de la víctima.
Según las estadísticas de Shadowserver, los países más afectados incluyen Alemania, Estados Unidos, Reino Unido, Francia, entre otros. Microsoft ya ha lanzado una actualización el 13 de febrero para abordar este problema, recomendando a los administradores de sistemas que instalen la Actualización Acumulativa 14 (CU14) de Exchange Server 2019 para solucionar esta vulnerabilidad, la cual fortalece la protección contra el relevo de credenciales NTLM.
El Centro de Seguridad de la Información Nacional de Estados Unidos (CISA) ha agregado CVE-2024-21410 a su “lista de exploits conocidos”, sin embargo, aún no se han descubierto herramientas de explotación públicas para esta vulnerabilidad, lo que aumenta la barrera de entrada para los atacantes. Sin embargo, dada la gravedad de la situación, es importante que se instalen las actualizaciones y se tomen medidas para mitigar posibles ataques y proteger los servidores de Exchange.
En resumen, es crucial que se tomen medidas inmediatas para proteger los servidores de Exchange de posibles ataques a través de esta vulnerabilidad. Microsoft ha lanzado una actualización para abordar el problema y se recomienda a los usuarios que la instalen de inmediato. Además, se deben tomar medidas adicionales para evitar posibles ataques, como fortalecer la seguridad de las credenciales NTLM. La seguridad de nuestros sistemas es fundamental y debemos estar siempre alerta y tomar medidas preventivas para garantizar su protección.