Microsoft ha rilasciato la patch il 13 febbraio, ma ci sono ancora oltre 97.000 server Exchange non aggiornati e oltre 28.500 di essi sono sicuramente vulnerabili. L’azienda di Redmond ha confermato che il bug zero-day è stata già sfruttata per accedere alle email e ad altre informazioni sensibili.
Exploit attivo: rischio per migliaia di server
Gli esperti di Shadowserver hanno rilevato che oltre 97.000 server Exchange potrebbero essere colpiti dai cybercriminali che sfruttano la vulnerabilità zero-day CVE-2024-21410. Oltre 28.500 sono sicuramente a rischio perché gli amministratori non hanno applicato le mitigazioni, né installato la patch.
In base ai dati forniti da Shadowserver, il paese con più server vulnerabili (oltre 24.000) è la Germania, seguito da Stati Uniti, Regno Unito, Olanda, Francia, Austria, Russia, Canada e Svizzera. In Italia ci sono circa 2.000 server. Al momento non c’è nessun exploit PoC (proof-of-concept) pubblico, quindi il numero di attacchi è ancora limitato.
Il bug di Exchange consente di guadagnare privilegi elevati. Un malintenzionato può ottenere le credenziali da un client NTLM (ad esempio Outlook) e quindi eseguire varie attività attraverso l’impersonificazione della vittima.
Gli amministratori devono installare con urgenza l’aggiornamento cumulativo (CU14) per Exchange Server 2019 che attiva automaticamente la protezione per le credenziali NTLM, nota come Extended Protection for Authentication (EPA). Per Exchange Server 2016 è invece necessario attivare la protezione tramite uno script PowerShell.