Microsoft hat kürzlich eine Warnung vor einer als "kritisch" eingestuften Sicherheitslücke in Exchange Server veröffentlicht. Diese Lücke wird bereits aktiv von Angreifern ausgenutzt was zu ernsthaften Sicherheitsrisiken führen kann. Die genaue Auswirkung und Verbreitung dieser Angriffe sind derzeit noch unklar jedoch Admins sollten sofort handeln und die verfügbaren Sicherheitspatches installieren.
Gegenmaßnahmen: Sicherheitsupdates sind verfügbar
Für Exchange Server 2016 und 2019 wurden Sicherheitsupdates veröffentlicht um die Schwachstelle mit dem Codenamen CVE-2024-21410 zu beheben. Admins sollten umgehend die entsprechenden Updates - Cumulative Update 23 für Exchange Server 2016, Cumulative Update 13 oder 14 für Exchange Server 2019 - installieren um sicherzustellen, dass ihre Systeme geschützt sind.
Die Angriffsmethode: NTLM-Relay-Attacke
Durch die Ausnutzung dieser Sicherheitslücke können Angreifer eine NTLM-Relay-Attacke durchführen. Hierbei können sie die Anmeldeinformationen eines NTLM-Clients wie z.B. Outlook offenzulegen und für ihre eigenen Zwecke missbrauchen. Dies kann zu erheblichen Sicherheitsverletzungen führen da die Angreifer die Identität des Nutzers übernehmen & Netzwerkressourcen manipulieren können.
Schutzmaßnahmen: Extended Protection for Authentication
Um die NTLM-Anmeldeinformationen zu schützen, setzen Exchange Server auf den Ansatz der "Extended Protection for Authentication" (EPA). Dieser Schutzmechanismus ist standardmäßig jedoch nicht aktiviert. Die Installation der Sicherheitsupdates aktiviert EPA automatisch und erhöht dadurch die Sicherheit der Server vor solchen Angriffen. Weitere Details dazu sind in einem Beitrag von Microsoft verfügbar.
Darüber hinaus können Admins ältere Exchange-Server mit einem Skript von Microsoft aktivieren um EPA zu aktivieren. Es ist jedoch ratsam, das Skript sorgfältig zu prüfen um potenzielle Probleme bei der Aktivierung in der eigenen IT-Infrastruktur zu vermeiden.
Kommentare
Die Exchange-Lücke wurde im Februar 2024 öffentlich bekannt gegeben jedoch zu diesem Zeitpunkt waren noch keine Angriffe bekannt. Es ist jedoch unerlässlich · dass Admins proaktiv handeln und die erforderlichen Sicherheitsupdates installieren · um ihre Systeme vor potenziellen Bedrohungen zu schützen.