CVE-2024-21410：多达 97,000 台 Exchange 服务器存在漏洞

PoC 漏洞的发布只会让情况变得更糟；不能推迟更新。

多达 97,000 台Exchange服务器可能容易受到代码为 CVE-2024-21410 的严重漏洞的影响。

该漏洞允许未经身份验证的远程攻击者对 Microsoft Exchange 服务器进行NTLM 中继 攻击并提升其在系统上的权限。

Exchange Server 广泛应用于商业环境中，通过提供电子邮件、日历、联系人和任务管理服务来促进用户之间的通信和协作。

微软于 2 月 13 日修复了上述漏洞，当时该漏洞已经作为零日漏洞被充分利用。昨天，即 2 月 19 日，威胁监控服务Shadowserver 宣布 其扫描仪已识别出约 97,000 个可能存在漏洞的服务器。其中 68,500 台服务器可能容易受到攻击，具体取决于管理员是否实施了缓解措施，并且 28,500 台服务器容易受到 CVE-2024-21410 的直接利用。

受黑客攻击影响最严重的国家是：

• 德国 – 22,903 台服务器；
• 美国 – 19,434 台服务器；
• 英国 – 3,665 台服务器；
• 法国 – 3,074 台服务器；
• 奥地利 – 2,987 台服务器；
• 俄罗斯 – 2,771 台服务器；
• 加拿大 – 2,554 台服务器；
• 瑞士 – 2,119 台服务器。

目前还没有针对 CVE-2024-21410 的公开可用的 PoC 漏洞利用，这在一定程度上限制了可以利用此漏洞的攻击者数量。

为了解决 CVE-2024-21410，建议系统管理员应用 Exchange Server 2019 的累积更新 14 (CU14)，该更新作为 最新补丁星期二更新的一部分发布 ，其中包括针对 NTLM 凭据拦截的保护。

美国网络安全和基础设施安全局 (CISA) 还将 CVE-2024-21410添加 到其已知可利用漏洞 (KEV) 目录中，允许联邦机构在 2024 年 3 月 7 日之前应用可用的更新、缓解措施或停止使用该产品。

利用 CVE-2024-21410 可能会给组织带来严重后果，因为在 Exchange 服务器上拥有更高权限的攻击者可以访问敏感数据（例如电子邮件），并使用该服务器作为对网络进行进一步攻击的跳板。

如果您的组织使用 Exchange Server，应该毫不犹豫地升级，因为随着公共 PoC 的发布，情况将变得比现在严重得多。