Jetzt patchen! Angreifer nutzen kritische Lücke in Microsoft Exchange Server aus
Derzeit verschaffen sich Angreifer Zugriffe auf Exchange Server, um diese zu kompromittieren. Schutzlösungen sind verfügbar.
(Bild: antb/Shutterstock.com)
Microsoft hat eine Warnmeldung zu einer "kritischen" Sicherheitslücke in Exchange Server aktualisiert und warnt nun vor laufenden Attacken. In welchem Umfang die Angriffe ablaufen, führt der Hard- und Softwareentwickler derzeit nicht aus. Admins sollten umgehend die bereits veröffentlichten Sicherheitspatches installieren.
Die Attacke
Durch das erfolgreiche Ausnutzen der Schwachstelle (CVE-2024-21410) führen Angreifer eine NTLM-Relay-Attacke (Pass the Hash) aus. In diesem Fall können Angreifer etwa an einem NTLM-Client mit einer Sicherheitsanfälligkeit vom Typ „Offenlegen von NTLM-Anmeldeinformationen“ wie Outlook ansetzen. Dabei erzwingen sie die Authentifizierung gegenüber einem bösartigen Relay und missbrauchen so die gekaperte Identität in Form eines Net-NTLMv2-Hash im Netz für ihre Zwecke. Schreibt Microsoft im aktualisierten Beitrag.
Der Schutz
Um NTLM-Anmeldeinformationen vor solchen Attacken zu schützen, setzen Exchange Server auf den Extended-Protection-for-Authentication-Ansatz (EPA). Doch der ist standardmäßig nicht aktiv. Die Installation von Exchange Server 2019 Cumulative Update 14 aktiviert EPA standardmäßig und schützt Server vor derartigen Angriffen. Weitere Informationen dazu führt Microsoft in einem Beitrag aus.
Exchange Server 2016 kann EPA seit August 2022. An dieser Stelle müssen Admins den Schutz über ein Skript aktivieren. Vorher sollten sie aber den Text genau lesen, um vorab mögliche Probleme durch die Aktivierung in ihrer IT-Infrastruktur zu erkennen.
Informationen zur Exchange-Schwachstelle wurden am Patchday im Februar 2024 öffentlich. Zu diesem Zeitpunkt waren aber noch keine Attacken bekannt.
Beschreibung der Attacke und Updates angepasst.
(des)
