A CVE-2024-21410(külső hivatkozás) néven nyomon követett, kritikus súlyosságú jogosultságnövelési hiba, amelyet a hackerek aktívan kihasználnak, lehetővé teszi, hogy hitelesítés nélküli támadók NTLM relay támadásokat hajtsanak végre a sebezhető Microsoft Exchange szervereken, és növeljék jogosultságaikat a rendszerben.

Októberben írtuk hírt arról, hogy Két új Microsoft Exchange zero-day sebezhetőségre derült fény (ProxyNotShell). Miután az első javítása a problémának nem sikerült, November 8-án megjelent frissítés hozott megnyugtató javítást ezzel a hibával és újabb két hibával (CVE-2022-41123(külső hivatkozás), CVE-2022-41080(külső hivatkozás), összefoglaló néven: OWASSRF(külső hivatkozás)) kapcsolatban is, mert az első verzió megkerülhető megoldást hozott csak. Ez utóbbi kettő szintén jogosultságemelést tesz lehetővé, amit a Microsoft is mindkét esetben (1(külső hivatkozás), 2(külső hivatkozás)) elismert és javított 2022. november 8-án. Összesen 180 ezernél több Microsoft Exchange szerver üzemel publikusan a világban(külső hivatkozás) (ebből 100 ezer Európában, 50 ezer Észak-Amerikában), és a mai napig ezekből 62 000 sebezhető(külső hivatkozás) (ebből Európából 32 ezer, 18 ezer Észak-Amerikában) - a Shadowserver(külső hivatkozás) adatai alapján. Ezek az adatok a CVE-2020-0688(külső hivatkozás), CVE-2021-26855(külső hivatkozás), CVE-2021-27065(külső hivatkozás), CVE-2022-41082(külső hivatkozás) sérülékenység alapján készült, amelyeket mindenképpen sürgősen be kell foltozni, a további nagyobb problémák, például zsarolóvírusos támadások elkerülése végett. Ezeket a sebezhetőségeket többek között a Play zsarolóvírus terjesztésére is felhasználják napjainkban. Emlékeztetőül a a  CVE-2022-41082(külső hivatkozás) hibáról ami távoli kódfuttatást (RCE) teszi lehetővé és a CVE-2022-41040(külső hivatkozás) hibáról, ami egy SSRF (Server-Side Request Forgery) sebezhetőség: