Am 14. Februar 2024 aktualisierte Microsoft sein Advisory zu einer Schwachstelle in Microsoft Exchange Server (CVE-2024-21410), die der Hersteller im Rahmen des Februar Patchdays geschlossen hatte. Ergänzt wurde der Hinweis, dass die Sicherheitslücke bereits aktiv ausgenutzt wird. Die Schwachstelle ermöglicht es externen Angreifenden im Zusammenhang mit potenziellen weiteren Verwundbarkeiten in NTLM-Clients (wie Outlook), sich mit entwendeten Net-NTLMv2-Hashwerten bei einem verwundbaren Exchange Server zu authentifizieren und Aktionen mit den Berechtigungen des ursprünglichen Opfers durchzuführen.
Server mit Microsoft Exchange – und auch Mailserver-Anwendungen im Allgemeinen – dienen in Organisationen als zentrale Knotenpunkte für Kommunikationsflüsse und stellen daher attraktive Ziele für Cyber-Angriffe dar. Eine Kompromittierung kann Tätern dazu dienen, Inhalte auszuspähen, zu sabotieren oder illegitime Mails zu versenden.
Ein Ausfall der Anwendungen führt wiederum zu erheblichen Beeinträchtigungen bei betrieblichen Abläufen. Auch in der Vergangenheit führten Cyber-Angriffe auf Exchange immer wieder zu massiven Schäden in Institutionen.
Im vorliegenden Fall führt die Schwachstelle CVE-2024-21410 in Microsoft Exchange Server in Kombination mit weiteren Sicherheitslücken (wie CVE-2024-21413 in Outlook), die das Entwenden von NTLM-Informationen ermöglichen, zu einem vergleichsweise einfachen Angriffsszenario und sollte entsprechend schnell behoben werden – vor allem, da bereits eine aktive Ausnutzung bekannt ist.
Weitere Informationen und Links in diesem Dokument: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-214205-1032.pdf?__blob=publicationFile&v=2
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21410
