Am 14. Februar 2024 aktualisierte Microsoft sein Advisory zu einer Schwachstelle in Microsoft Exchange
Server (CVE-2024-21410), die der Hersteller im Rahmen des Februar Patchdays geschlossen hatte. Ergänzt
wurde der Hinweis, dass die Sicherheitslücke bereits aktiv ausgenutzt wird. Die Schwachstelle ermöglicht es
externen Angreifenden im Zusammenhang mit potenziellen weiteren Verwundbarkeiten in NTLM-Clients
(wie Outlook), sich mit entwendeten Net-NTLMv2-Hashwerten bei einem verwundbaren Exchange Server
zu authentifizieren und Aktionen mit den Berechtigungen des ursprünglichen Opfers durchzuführen. Die
Bewertung nach dem Common Vulnerability Scoring System (CVSS) in Version 3.1 ist mit einem Wert von
9.8 daher „kritisch“.
Diese sogenannten NTLM-Relay-Angriffe können durch die Schutzfunktion Extended Protection (EP), auch
Extended Protection for Authentication (EPA) genannt, unterbunden werden, die das Update Exchange
Server 2019 CU14 standardmäßig aktiviert.
Betroffen sind Versionen von Microsoft Exchange Server vor Cumulative Update 14 für Exchange Server
2019, ohne aktiviertes Extended-Protection-Feature.
Eine weitere am Februar-Patchday geschlossene kritische Schwachstelle in Outlook (CVE-2024-21413, CVSS-Bewertung ebenfalls 9.8) erlaubt das Entwenden von NTLM-Informationen und möglicherweise auch Codeausführung ohne
Nutzerinteraktion bzw. laut Angaben der Entdeckenden der Schwachstelle über einen Klick auf einen präparierten Link in einer Mail [CPR2024]. Microsoft selbst hat die Angabe einer bereits beobachteten Ausnutzung dieser Schwachstelle zurückgezogen und gibt nun an, dass Angriffe unwahrscheinlich seien [MS2024f].
*Quelle BSI