• 發布單位:TWCERT/CC
• 更新日期:2024-02-21
• 點閱次數:7267

微軟的Exchange Server近期修補了一個嚴重的安全漏洞CVE-2024-21410(CVSS分數9.8)，網路上已有攻擊者利用該漏洞進行攻擊。CVE-2024-21410允許遠端未經身份驗證的攻擊者進行NTLM relay攻擊，從而提升其在系統中的權限並取得機敏資訊。根據最新報告顯示，高達97,000台Microsoft Exchange伺服器可能受到此漏洞的影響，當中28,500台已經確認存在漏洞。

攻擊者可能會以 NTLM 客戶端（例如 Outlook）為目標，利用 NTLM 憑證洩漏的漏洞，將洩漏的憑證中繼至 Exchange 伺服器，取得受害客戶端的特權，並以受害者的身分到 Exchange 伺服器上執行各項操作。

Shadowserver統計，受影響最嚴重的國家包括德國、美國、英國、法國等。微軟已於2月13日針對此問題發布了更新檔，建議系統管理員立即更新Exchange Server 2019 Cumulative Update 14（CU14）以解決此漏洞，該更新增強了NTLM憑證中繼保護。

美國國家資訊安全中心（CISA）已將CVE-2024-21410添加到其「已知遭利用的清單」中，目前尚未發現公開的CVE-2024-21410漏洞攻擊工具，因此也提高了攻擊者使用此漏洞攻擊的門檻。然而，考慮到其嚴重性，應盡早安裝更新程式和實施減緩攻擊的措施，以保護其Exchange伺服器被攻擊利用。