A Microsoft reconheceu que uma falha de segurança crítica recém-divulgada no Exchange Server tem sido ativamente explorada, um dia após a empresa lançar correções para a vulnerabilidade como parte de suas atualizações de terça-feira de patches. Identificada como CVE-2024-21410 (pontuação CVSS: 9.8), a falha é descrita como um caso de escalonamento de privilégios que afeta o Exchange Server.

“Um atacante poderia visar um cliente NTLM, como o Outlook, com uma vulnerabilidade do tipo vazamento de credenciais NTLM”, disse a empresa em um comunicado publicado esta semana. “As credenciais vazadas podem então ser retransmitidas contra o servidor Exchange para obter privilégios como o cliente vítima e realizar operações no servidor Exchange em nome da vítima.” A exploração bem-sucedida da falha poderia permitir que um atacante retransmitisse o hash Net-NTLMv2 vazado de um usuário contra um servidor Exchange vulnerável e se autenticasse como o usuário, acrescentou a Microsoft.

Em uma atualização de seu boletim, a gigante da tecnologia revisou sua Avaliação de Explorabilidade para “Exploração Detectada”, observando que agora ativou a Proteção Estendida para Autenticação (EPA) por padrão com a atualização Cumulative Update 14 (CU14) do Exchange Server 2019. Detalhes sobre a natureza da exploração e a identidade dos atores de ameaça que podem estar abusando da falha atualmente são desconhecidos.