Microsoft Exchange Zero-Day-Schwachstelle CVE-2024-21410

Schutzmaßnahmen gegen die kritische Exchange-Schwachstelle CVE-2024-21410

Am 13. Februar 2024 wurde eine hochkritische Sicherheitslücke im Microsoft Exchange Server, bekannt als CVE-2024-21410, öffentlich gemacht. Diese Schwachstelle, eingestuft mit einem CVSS-Wert von 9.8, ermöglicht es Angreifern, durch NTLM-Relay-Angriffe („Pass the Hash“) sensible Anmeldeinformationen zu stehlen und weitreichende Berechtigungen auf dem Exchange Server zu erlangen. Über 28.500 Exchange Server sind weltweit betroffen, insbesondere die Versionen vor dem Cumulative Update 14 für Exchange Server 2019.

Was ist CVE-2024-21410?

CVE-2024-21410 ist eine kritische Sicherheitslücke, die es ermöglicht, NTLM-Anmeldeinformationen mittels speziell präparierter Anfragen zu stehlen. Dies kann zur Übernahme der Identität legitimer Benutzer führen, was die Sicherheit der IT-Infrastruktur gravierend gefährdet.

Bedeutung der Extended Protection

Das Cumulative Update 14 für Exchange Server 2019 implementiert die Extended Protection als Standard, eine entscheidende Schutzmaßnahme gegen diese Angriffsart. Es ist wichtig zu beachten, dass das Update allein die Schwachstelle nicht schließt, sondern primär die Ausnutzung durch die Aktivierung der Extended Protection verhindert.

SSL-Zertifikatanforderungen

Für die Aktivierung der Extended Protection ist es erforderlich, dass alle Geräte, die SSL-Inspektion oder SSL-Bridging durchführen, das gleiche SSL-Zertifikat nutzen. Dies gewährleistet einen effektiven Schutz, erfordert jedoch eine sorgfältige Verwaltung der Zertifikate.

Überprüfung der Extended Protection

Administratoren sollten mithilfe des Exchange Health Checkers prüfen, ob die Extended Protection korrekt aktiviert ist. Auch Exchange Server 2016 ist durch CVE-2024-21410 gefährdet, wobei die Extended Protection über ein PowerShell-Skript aktiviert werden kann.

Einblick in die Problematik

Analysen zeigen, dass CVE-2024-21410 nicht nur Exchange Server betrifft, sondern auch den Internet Information Server (IIS), was das Risiko auf weitere IIS-basierte Dienste ausweitet.

Fazit

Angesichts der Schwere von CVE-2024-21410 ist es unerlässlich, die Extended Protection zu aktivieren oder auf alternative Authentifizierungsmethoden wie Kerberos umzustellen, um die IT-Infrastruktur zu schützen.

Link zum BSI: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-214205-1032.html

DOWNLOAD: CSW-Nr. 2024-214205-1032, Version 1.0, 15.02.2024

Scroll to top