Исследователи подсчитали, что порядка 28 500 серверов Microsoft Exchange уязвимы перед критической проблемой повышения привилегий (CVE-2024-21410), которую уже начали эксплуатировать хакеры. Общее количество потенциально уязвимых серверов и вовсе превышает 97 000.
Напомним, что о проблеме CVE-2024-21410 стало известно на прошлой неделе. Эта уязвимость была обнаружена собственными специалистами Microsoft и позволяет удаленным неаутентифицированным злоумышленникам повысить привилегии в рамках атак типа NTLM relay.
Для устранения бага администраторам рекомендуется как можно скорее установить обновление Exchange Server 2019 Cumulative Update 14 (CU14), вышедшее в феврале 2024 года.
Уже после выхода патчей, которые были выпущены в рамках февральского «вторника обновлений», Microsoft обновила свой бюллетень безопасности, посвященный CVE-2024-21410, и сообщила, что уязвимость использовалась хакерами в качестве 0-day. Общедоступного PoC-эксплоита для этой проблемы пока нет, так что речи о массовых атаках не идет.
Как теперь сообщили специалисты Shadowserver, они выявили в интернете около 97 000 потенциально уязвимых серверов. При этом состояние примерно 68 500 из них зависит от того, применили ли их администраторы меры защиты, а еще 28 500 серверов точно уязвимы перед CVE-2024-21410.
Больше всего потенциально уязвимых серверов расположены в Германии (22 903), США (19 434), Великобритании (3665), Франции (3074), Австрии (2987), России (2771), Канаде (2554) и Швейцарии (2119).
Исследователи напоминают, что эксплуатация CVE-2024-21410 может иметь серьезные последствия для организаций, поскольку злоумышленники с высокими привилегиями в Exchange Server могут получить доступ к конфиденциальным данным (например, к электронной почте), и использовать взломанный сервер в качестве плацдарма для дальнейших атак.