Hasta 97.000 servidores Microsoft Exchange podrían ser vulnerables a una falla de escalada de privilegios de gravedad crítica rastreada como CVE-2024-21410 que los piratas informáticos están explotando activamente.

Microsoft abordó el problema el 13 de febrero, cuando ya se había utilizado como día cero. Actualmente, se han identificado 28.500 servidores como vulnerables.

Exchange Server se utiliza ampliamente en entornos empresariales para facilitar la comunicación y la colaboración entre usuarios al proporcionar servicios de correo electrónico, calendario, gestión de contactos y gestión de tareas.

El problema de seguridad permite a actores remotos no autenticados realizar ataques de retransmisión NTLM en servidores Microsoft Exchange y escalar sus privilegios en el sistema.

Hoy, el servicio de monitoreo de amenazas Servidor sombra anunciado que sus escáneres identificaron aproximadamente 97.000 servidores potencialmente vulnerables.

Del total de 97.000, el estado vulnerable de alrededor de 68.500 servidores depende de que los administradores apliquen mitigaciones, mientras que se confirma que 28.500 son vulnerables a CVE-2024-21410.

Los países más afectados son Alemania (22.903 casos), Estados Unidos (19.434), Reino Unido (3.665), Francia (3.074), Austria (2.987), Rusia (2.771), Canadá (2.554) y Suiza (2.119).

Actualmente no existe ningún exploit de prueba de concepto (PoC) disponible públicamente para CVE-2024-21410, lo que limita de alguna manera la cantidad de atacantes que utilizan la falla en los ataques.

Para resolver CVE-2024-21410, se recomienda a los administradores del sistema aplicar la actualización acumulativa 14 (CU14) de Exchange Server 2019 lanzada durante el martes de parches de febrero de 2024, que habilita protecciones de retransmisión de credenciales NTLM.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) también añadido CVE-2024-21410 a su catálogo de 'Vulnerabilidades explotadas conocidas', lo que otorga a las agencias federales hasta el 7 de marzo de 2024 para aplicar las actualizaciones/mitigaciones disponibles o dejar de usar el producto.

La explotación de CVE-2024-21410 podría tener graves consecuencias para una organización porque los atacantes con permisos elevados en un servidor Exchange podrían acceder a datos confidenciales, como comunicaciones por correo electrónico, y utilizar el servidor como rampa para futuros ataques a la red.