Am 13. Februar 2024 wurde eine hochkritische Sicherheitslücke im Microsoft Exchange Server, bekannt als CVE-2024-21410, öffentlich gemacht. Diese Schwachstelle, eingestuft mit einem CVSS-Wert von 9.8, ermöglicht es Angreifern, durch NTLM-Relay-Angriffe („Pass the Hash“) sensible Anmeldeinformationen zu stehlen und weitreichende Berechtigungen auf dem Exchange Server zu erlangen. Über 28.500 Exchange Server sind weltweit betroffen, insbesondere die Versionen vor dem Cumulative Update 14 für Exchange Server 2019.
CVE-2024-21410 ist eine kritische Sicherheitslücke, die es ermöglicht, NTLM-Anmeldeinformationen mittels speziell präparierter Anfragen zu stehlen. Dies kann zur Übernahme der Identität legitimer Benutzer führen, was die Sicherheit der IT-Infrastruktur gravierend gefährdet.
Das Cumulative Update 14 für Exchange Server 2019 implementiert die Extended Protection als Standard, eine entscheidende Schutzmaßnahme gegen diese Angriffsart. Es ist wichtig zu beachten, dass das Update allein die Schwachstelle nicht schließt, sondern primär die Ausnutzung durch die Aktivierung der Extended Protection verhindert.
Für die Aktivierung der Extended Protection ist es erforderlich, dass alle Geräte, die SSL-Inspektion oder SSL-Bridging durchführen, das gleiche SSL-Zertifikat nutzen. Dies gewährleistet einen effektiven Schutz, erfordert jedoch eine sorgfältige Verwaltung der Zertifikate.
Administratoren sollten mithilfe des Exchange Health Checkers prüfen, ob die Extended Protection korrekt aktiviert ist. Auch Exchange Server 2016 ist durch CVE-2024-21410 gefährdet, wobei die Extended Protection über ein PowerShell-Skript aktiviert werden kann.
Analysen zeigen, dass CVE-2024-21410 nicht nur Exchange Server betrifft, sondern auch den Internet Information Server (IIS), was das Risiko auf weitere IIS-basierte Dienste ausweitet.
Angesichts der Schwere von CVE-2024-21410 ist es unerlässlich, die Extended Protection zu aktivieren oder auf alternative Authentifizierungsmethoden wie Kerberos umzustellen, um die IT-Infrastruktur zu schützen.
Link zum BSI: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-214205-1032.html
certo.one ist ein Geschäftsbereich der valvisio international AG