최근 업데이트에서 MS는 이번 달 화요일 패치 기간에 패치되기 전에 제로 데이로 악용된 Exchange Server의 중요한 취약성에 대해 전 세계 기업과 조직에 주의보를 발령했다. 공식적으로 CVE-2024-21410으로 추적되는 이 결함은 인증되지 않은 원격 위협 행위자가 다양한 버전의 Microsoft Exchange Server를 대상으로 하는 NTLM 릴레이 공격에서 권한을 상승시킬 수 있으므로 심각한 위협이 될 수있다..

NTLM 릴레이 공격은 악의적인 공격자가 서버 또는 도메인 컨트롤러와 같은 네트워크 장치를 강제로 자신이 제어하는 NTLM 릴레이 서버에 대해 인증하도록 하는것이다. 이 조작을 통해 공격자는 표적 디바이스를 가장하고 권한을 상승시켜 민감한 시스템과 데이터에 무단으로 액세스할 수 있다.

이 취약점의 심각성은 NTLM 자격 증명 유출 취약점을 악용하여 아웃룩과 같은 NTLM 클라이언트를 손상시킬 수 있다는 데있다.. 자격 증명이 유출되면 해당 자격 증명이 Exchange 서버에 중계되어 피해 클라이언트로서의 권한을 획득하고 Exchange 서버에서 악의적인 작업을 수행할 수 있는 것이다.

CVE-2024-21410으로 인한 위험을 완화하기 위해 마이크로소프트는 NTLM 자격 증명 릴레이 보호(인증용 확장 보호 또는 EPA라고도 함)를 도입하는 Exchange Server 2019 누적 업데이트 14(CU14)를 릴리스했다.. 이 업데이트는 Windows Server 인증 기능을 강화하여 인증 릴레이 및 중간자(MitM) 공격을 완화하는 중요한 업데이트다.

또한 마이크로소프트는 2024년 2월 상반기 누적 업데이트(CU14)를 설치한 후 모든 Exchange 서버에서 EP(확장 보호)를 기본적으로 사용하도록 설정할 것이라고 발표했다.

관리자는 즉시 최신 업데이트를 설치하고 Exchange 서버에서 EP를 사용하도록 설정하여 CVE-2024-21410을 악용하는 공격으로부터 보호해야 한다.