Microsoft hat bekannt gegeben, dass eine kürzlich bekannt gewordene Sicherheitslücke ausgenutzt wurde, nur einen Tag nachdem das Unternehmen Fehlerbehebungen für die Schwachstelle veröffentlicht hatte. CVE-2024-21410, eine Exchange Server-Schwachstelle mit einem CVSS-Score von 9,8, ermöglicht es Bedrohungsakteuren, die Berechtigungen des betroffenen Exchange Servers zu erweitern. In diesen Cybersecurity-Bedrohungshinweis erfahren Sie, ob Sie gefährdet sind und wie Sie Ihr Risiko minimieren können.
Welcher Art ist die Bedrohung?
CVE-2024-21410 kann es nicht authentifizierten Remote-Bedrohungsakteuren ermöglichen, Berechtigungen im New Technology LAN Manager (NTLM) zu erweitern und Relay-Angriffe auf anfällige Versionen von Microsoft Exchange Server auszuführen. Bedrohungsakteure können ein Netzwerkgerät, z. B. einen Server oder einen Domänencontroller, dazu zwingen, sich gegenüber einem NTLM-Relay unter ihrer Kontrolle zu authentifizieren, um sich als Zielgeräte auszugeben und ihre Berechtigungen zu erweitern.
Warum sollte man aufmerksam sein?
Auch wenn genaue Details über den Angriff und die Identität der dahinterstehenden Bedrohungsakteure derzeit nicht bekannt gegeben werden, lohnt es sich, die historische Verbindung zu Hackergruppen wie APT28 zu erwähnen. Diese Gruppen haben eine hohe Erfolgsbilanz bei der Ausnutzung von Schwachstellen in Microsoft Outlook vorzuweisen, insbesondere bei der Durchführung von NTLM-Relay-Angriffen. In letzter Zeit wurden sie mit NTLM-Relay-Angriffen in Verbindung gebracht, die mindestens seit April 2022 auf hochrangige Unternehmen abzielen. Diese Angriffe konzentrierten sich auf Einrichtungen aus den Bereichen Auswärtige Angelegenheiten, Energie, Verteidigung, Transport, Arbeit, Soziales, Finanzen, Elternschaft und lokale Stadträte.
Wie hoch ist Risiko einer Exposition?
Diese Schwachstelle bietet Angreifern die Möglichkeit, Angriffe auf NTLM-Clients wie Outlook durchzuführen, um Anmeldeinformationen abzugreifen. Microsoft warnt davor, dass die gestohlenen Zugangsdaten an einen Exchange-Server weitergeleitet werden könnten. Eine erfolgreiche Ausnutzung kann dazu führen, dass der Angreifer die Berechtigungen des Opfer-Clients übernimmt und Vorgänge auf dem Exchange-Server ausführt.
Welche Empfehlungen haben Sie?
Barracuda empfiehlt die folgenden Maßnahmen, um die Auswirkungen von CVE-2024-21410 zu begrenzen:
- Implementieren Sie das kumulative Update 14 (CU14) für Exchange Server 2019, das einen Relayschutz für NTLM-Zugangsdaten enthält, um die Risiken dieser Schwachstelle zu reduzieren.
- Verwenden Sie für ältere Versionen als Exchange Server 2019 das PowerShell-Skript ExchangeExtendedProtectionManagement, um den erweiterten Schutz (EP) zu aktivieren.
- Sehen Sie sich die EP-Dokumentation von Microsoft an, um potenzielle Probleme zu identifizieren und zu beheben. Führen Sie gründliche Bewertungen der Umgebung durch, bevor Sie EP aktivieren.
Referenzen
Ausführlichere Informationen zu den Empfehlungen finden Sie unter den folgenden Links:
- Microsoft: New critical Exchange bug exploited as zero-day (bleepingcomputer.com)
- Microsoft Exchange Server Flaw Exploited as a Zero-Day Bug (darkreading.com)
- Critical Exchange Server Flaw (CVE-2024-21410) Under Active Exploitation (thehackernews.com)
Hinweis: Dies wurde ursprünglich über SmarterMSPveröffentlicht.
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.
