Quelle: msrc.microsoft.com (Englisch)
Microsoft hat heute in einer aktualisierten Sicherheitswarnung darauf hingewiesen, dass eine kritische Schwachstelle in Exchange Server als Zero-Day ausgenutzt wurde, bevor sie im Rahmen des Patch Tuesday dieses Monats behoben wurde.
Die intern entdeckte und als CVE-2024-21410 verfolgte Sicherheitslücke kann es entfernten, nicht authentifizierten Bedrohungsakteuren ermöglichen, in NTLM-Relay-Angriffen, die sich gegen anfällige Microsoft Exchange Server-Versionen richten, Privilegien zu eskalieren.
Bei solchen Angriffen zwingt der Bedrohungsakteur ein Netzwerkgerät (einschließlich Server oder Domänencontroller) sich gegen einen NTLM-Relay-Server zu authentifizieren, der unter seiner Kontrolle steht, um die angegriffenen Geräte zu imitieren und Privilegien zu erhöhen.
"Ein Angreifer könnte ein NTLM-Client wie Outlook mit einer NTLM-Anfälligkeit vom Typ Credentials-Leaking ins Visier nehmen", erläutert Microsoft.
"Die geleakten Anmeldeinformationen können dann gegen den Exchange Server weitergeleitet werden, um sich als das Opfer-Client zu authentifizieren und Operationen auf dem Exchange Server im Namen des Opfers durchzuführen.
"Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, könnte den geleakten Net-NTLMv2-Hash eines Benutzers gegen einen anfälligen Exchange Server weiterleiten und sich als der Benutzer authentifizieren."
Hier ist eine mögliche Neufassung des Textes in einem professionellen Ton:
Schutz durch Exchange Extended Protection
Mit dem Update Cumulative Update 14 (CU14) für Exchange Server 2019, das im Rahmen des Patch Tuesday im Februar 2024 veröffentlicht wurde, wird diese Schwachstelle behoben, indem der NTLM-Relay-Schutz (auch bekannt als Extended Protection for Authentication oder EPA) aktiviert wird.
EP soll die Authentifizierungsfunktion von Windows Server stärken, indem es Authentifizierungs-Relay- und Man-in-the-Middle-Angriffe (MitM) verhindert.
Microsoft führte die EP-Unterstützung für Exchange Server erstmals im August 2022 ein und kündigte ein Jahr später an, dass EP standardmäßig auf allen Exchange-Servern aktiviert wird, nachdem CU14 installiert wurde. Heute gab das Unternehmen bekannt, dass EP standardmäßig aktiviert wird auf allen Exchange-Servern, nachdem das kumulative Update für die erste Hälfte des Jahres 2024 (auch bekannt als CU14) installiert wurde.
Administratoren können auch das PowerShell-Skript ExchangeExtendedProtectionManagement verwenden, um EP auf früheren Versionen von Exchange Server, wie z.B. Exchange Server 2016, zu aktivieren. Dies schützt ihre Systeme auch vor Angriffen, die sich gegen Geräte richten, die nicht gegen CVE-2024-21410 gepatcht sind.
Bevor Administratoren jedoch EP auf ihren Exchange-Servern umschalten, sollten sie ihre Umgebungen bewerten und die in der Dokumentation von Microsoft für das EP-Umschalt-Skript erwähnten Probleme überprüfen, um eine Beeinträchtigung der Funktionalität zu vermeiden.