Più di 28.500 server Exchange di Microsoft sono attualmente vulnerabili a una falla critica di escalation dei privilegi, identificata come CVE-2024-21410, che gli hacker stanno attivamente sfruttando attraverso attacchi di tipo NTLM relay. Sebbene Microsoft abbia risolto il problema il 13 febbraio, quando era già stato utilizzato come zero-day, i server vulnerabili identificati ammontano a 28.500. Exchange Server, ampiamente utilizzato negli ambienti aziendali, offre servizi di email, calendario, gestione dei contatti e delle attività.
Il problema di sicurezza consente agli attori non autenticati di eseguire attacchi NTLM relay sui server Exchange di Microsoft e di elevarne i privilegi. Shadowserver ha rivelato che circa 97.000 server potrebbero essere vulnerabili, con 68.500 di questi che dipendono dall’applicazione delle mitigazioni da parte degli amministratori, mentre 28.500 sono confermati come vulnerabili.
Paesi più a rischio: Italia nel mezzo
I paesi più colpiti includono Germania, Stati Uniti, Regno Unito, Francia, Austria, Russia, Canada e Svizzera. Attualmente, non esiste una prova di concetto (PoC) pubblicamente disponibile per CVE-2024-21410, il che limita il numero di aggressori che utilizzano la falla negli attacchi.
Per affrontare CVE-2024-21410, si consiglia agli amministratori di sistema di applicare l’aggiornamento Cumulative Update 14 (CU14) di Exchange Server 2019 rilasciato durante il Patch Tuesday di febbraio 2024, che abilita le protezioni delle credenziali NTLM Relay. La Cybersecurity & Infrastructure Security Agency (CISA) degli Stati Uniti ha anche aggiunto CVE-2024-21410 al suo catalogo di ‘Vulnerabilità note sfruttate’, dando alle agenzie federali tempo fino al 7 marzo 2024 per applicare gli aggiornamenti/mitigazioni disponibili o cessare l’uso del prodotto.
Cosa è un attacco NTLM relay?
Un attacco NTLM relay sfrutta il meccanismo di autenticazione NTLM (NT LAN Manager) di Windows. Durante questo tipo di attacco, un aggressore intercetta le richieste di autenticazione legittime tra un client e un server e le inoltra a un altro server. L’attaccante si posiziona tra il client e il server, agendo come intermediario, e può usare la sessione autenticata per accedere a risorse o servizi protetti sul server di destinazione, impersonando l’utente originale senza conoscere la sua password.
Il meccanismo NTLM funziona attraverso una sfida/risposta, dove il server (o il servizio) richiede una prova di identità dal client senza che la password venga trasmessa sulla rete. Tuttavia, in un attacco relay, l’aggressore riesce a catturare questa comunicazione e la reindirizza verso un altro server, facendo credere a quest’ultimo che la richiesta provenga dall’utente legittimo.
Questo tipo di attacco evidenzia la vulnerabilità dei sistemi che si affidano esclusivamente all’autenticazione NTLM, sottolineando l’importanza di implementare misure di sicurezza aggiuntive come SMB signing, l’uso di Kerberos al posto di NTLM dove possibile, e la configurazione di protezioni contro gli attacchi relay nelle politiche di sicurezza della rete.
L’exploit CVE-2024-21410 può avere gravi conseguenze per un’organizzazione poiché gli aggressori con permessi elevati su un server Exchange possono accedere a dati confidenziali come la comunicazione via email e utilizzare il server come trampolino per ulteriori attacchi alla rete.
