-
06/07/2013
-
797
-
1.304 bài viết
Lỗ hổng nghiêm trọng mới của Microsoft Exchange bị khai thác dưới dạng zero-day
Microsoft vừa cảnh báo về lỗ hổng nghiêm trọng trong máy chủ Exchange đã bị khai thác dưới dạng zero-day trước khi được vá trong bản cập nhật Patch Tuesday của tháng 02/2024.
Lỗ hổng được phát hiện trong nội bộ và có mã định danh CVE-2024-21410, có thể cho phép kẻ tấn công từ xa chưa xác thực leo thang đặc quyền thông qua các cuộc tấn công chuyển tiếp NTLM nhằm vào các phiên bản máy chủ Microsoft Exchange tồn tại lỗ hổng.
NTLM (NT LAN Manager) là bộ giao thức bảo mật của Microsoft được thiết kế để cung cấp tính năng xác thực, toàn vẹn và bảo mật cho người dùng cuối. Giao thức này sử dụng cơ chế challenge-response để xác thực. Máy chủ gửi một challenge đến máy khách, được mã hóa bằng mật khẩu của người dùng và response sau đó sẽ được trả về máy chủ.
Trong thực hiện một cuộc tấn công như vậy, kẻ xấu cần một thiết bị mạng (bao gồm máy chủ hoặc domain controller) để xác thực với máy chủ chuyển tiếp NTLM do chúng kiểm soát nhằm mạo danh các thiết bị được nhắm mục tiêu và leo thang đặc quyền.
Microsoft giải thích: "Kẻ tấn công có thể nhắm vào một NTLM client như Outlook với kiểu lỗ hổng rò rỉ thông tin xác thực NTLM."
“Ngoài ra, việc khai thác thành công lỗ hổng này có thể chuyển tiếp hash Net-NTLMv2 bị rò rỉ của người dùng sang Exchange Server dễ bị tấn công và xác thực là người dùng.”
Biện pháp giảm thiểu qua Exchange Extended Protection
Bản cập nhật Exchange Server 2019 Cumulative Update 14 (CU14) giải quyết lỗ hổng CVE-2024-21410 bằng cách bật NTLM credentials Relay Protections (còn được gọi là Extended Protection for Authentication hoặc EPA).
EPA nhằm tăng cường chức năng xác thực của Windows Server bằng cách giảm thiểu các cuộc tấn công chuyển tiếp xác thực và tấn công man-in-the-middle (MitM).
Microsoft cũng đã thông báo Extended Protection (EP) sẽ được bật tự động theo mặc định trên tất cả các máy chủ Exchange sau khi cài đặt Cumulative Update H1 2024 (còn gọi là CU14) của tháng này.
Quản trị viên có thể sử dụng PowerShell script ExchangeExtendedProtectionManagement để kích hoạt EP trên các phiên bản trước của Exchange Server, chẳng hạn như Exchange Server 2016. Điều này cũng sẽ bảo vệ hệ thống trước các cuộc tấn công nhắm mục tiêu vào các thiết bị chưa được vá lỗ hổng CVE-2024-21410.
Tuy nhiên, trước khi kích hoạt EP trên máy chủ Exchange, quản trị viên nên kiểm tra và đánh giá môi trường cũng như xem xét các vấn đề được đề cập trong tài liệu của Microsoft để tránh phát sinh lỗi.
Lỗ hổng được phát hiện trong nội bộ và có mã định danh CVE-2024-21410, có thể cho phép kẻ tấn công từ xa chưa xác thực leo thang đặc quyền thông qua các cuộc tấn công chuyển tiếp NTLM nhằm vào các phiên bản máy chủ Microsoft Exchange tồn tại lỗ hổng.
NTLM (NT LAN Manager) là bộ giao thức bảo mật của Microsoft được thiết kế để cung cấp tính năng xác thực, toàn vẹn và bảo mật cho người dùng cuối. Giao thức này sử dụng cơ chế challenge-response để xác thực. Máy chủ gửi một challenge đến máy khách, được mã hóa bằng mật khẩu của người dùng và response sau đó sẽ được trả về máy chủ.
Trong thực hiện một cuộc tấn công như vậy, kẻ xấu cần một thiết bị mạng (bao gồm máy chủ hoặc domain controller) để xác thực với máy chủ chuyển tiếp NTLM do chúng kiểm soát nhằm mạo danh các thiết bị được nhắm mục tiêu và leo thang đặc quyền.
Microsoft giải thích: "Kẻ tấn công có thể nhắm vào một NTLM client như Outlook với kiểu lỗ hổng rò rỉ thông tin xác thực NTLM."
“Ngoài ra, việc khai thác thành công lỗ hổng này có thể chuyển tiếp hash Net-NTLMv2 bị rò rỉ của người dùng sang Exchange Server dễ bị tấn công và xác thực là người dùng.”
Biện pháp giảm thiểu qua Exchange Extended Protection
Bản cập nhật Exchange Server 2019 Cumulative Update 14 (CU14) giải quyết lỗ hổng CVE-2024-21410 bằng cách bật NTLM credentials Relay Protections (còn được gọi là Extended Protection for Authentication hoặc EPA).
EPA nhằm tăng cường chức năng xác thực của Windows Server bằng cách giảm thiểu các cuộc tấn công chuyển tiếp xác thực và tấn công man-in-the-middle (MitM).
Microsoft cũng đã thông báo Extended Protection (EP) sẽ được bật tự động theo mặc định trên tất cả các máy chủ Exchange sau khi cài đặt Cumulative Update H1 2024 (còn gọi là CU14) của tháng này.
Quản trị viên có thể sử dụng PowerShell script ExchangeExtendedProtectionManagement để kích hoạt EP trên các phiên bản trước của Exchange Server, chẳng hạn như Exchange Server 2016. Điều này cũng sẽ bảo vệ hệ thống trước các cuộc tấn công nhắm mục tiêu vào các thiết bị chưa được vá lỗ hổng CVE-2024-21410.
Tuy nhiên, trước khi kích hoạt EP trên máy chủ Exchange, quản trị viên nên kiểm tra và đánh giá môi trường cũng như xem xét các vấn đề được đề cập trong tài liệu của Microsoft để tránh phát sinh lỗi.
Nguồn: Bleepingcomputer
Chỉnh sửa lần cuối bởi người điều hành: