Die kritische Schwachstelle CVE-2024-21410 in Exchange Server, welche am 13.02.2024 öffentlich gemacht wurde, wird jetzt aktiv ausgenutzt. Die Schwachstelle CVE-2024-21410 ermöglicht Angreifern eine NTLM Relay Attacke (Pass the Hash). In diesem Fall können Angreifer einen Client wie Outlook dazu bringen sich gegenüber einen bösartigen Relay anzumelden, um so an die NTLM Anmeldeinformationen zu kommen.

Das Sicherheitsrisiko wird als kritisch bewertet. Die Schwachstelle ermöglicht es Angreifern, hohe Vertraulichkeits-, Integritäts- und Verfügbarkeitseinbußen herbeizuführen. Die Tatsache, dass keine Benutzerinteraktion oder Privilegien erforderlich sind, um die Schwachstelle auszunutzen, erhöht das Risiko erheblich. Eine kompromittierte Mail vom Angreifer an einen Benutzer ist ausreichend für die Ausnutzung dieser Sicherheitslücke.

Um sich vor dieser Sicherheitslücke zu schützen, empfehlen wir dringend:

Aktualisieren Sie Ihren Exchange Server: Stellen Sie sicher, dass Ihr Exchange Server auf dem neuesten Stand ist. Speziell der Exchange Server 2019 sollte mindestens das Kumulative Update 14 (CU14) installiert haben. Dieser Patch aktiviert den erweiterten Schutz für die Authentifizierung (EPA), was zum Schließen der Lücke führt.
Für Exchange Server 2016 gibt es noch keine aktiven Patch. Auch hier gilt natürlich die Empfehlung, stets aktuell gepatchte Systeme einzusetzen. Für diese Server ab dem Kumulativen Update 23 mit dem Sicherheitsupdate vom August 2022 wird empfohlen, den erweiterten Schutz für die Authentifizierung (EPA) manuell zu aktivieren.

Weitere Informationen:

• BSI Sicherheitswarnung CVE-2024-21410 (bsi.bund.de)
• CVE-2024-21410: Exchange Schwachstelle wird aktiv ausgenutzt (frankysweb.de)
• Jetzt patchen! Angreifer nutzen kritische Lücke in Microsoft Exchange Server aus (Heise.de)