Was ist passiert?
Am 13.02.2024 veröffentlichte Microsoft Einzelheiten zu einer kritischen Sicherheitslücke in Microsoft Exchange Server (CVE-2024-21410). Diese Sicherheitslücke wird derzeit aktiv von Angreifern ausgenutzt. Sie ermöglicht es einem Angreifer, die Kontrolle über E-Mail-Accounts zu übernehmen und kann dazu dienen, Inhalte auszuspähen, zu sabotieren oder illegitime Mails zu versenden.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21410
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt ebenfalls vor dieser kritischen Schwachstelle und sieht dringenden Handlungsbedarf.
Wie groß ist die Gefahr dieser Schwachstelle?
Die Schwachstelle wurde mit einem CVSS-Score von 9.8/10 als kritisch eingestuft.
Die Schwachstelle ermöglicht es externen Angreifenden im Zusammenhang mit potenziellen weiteren Verwundbarkeiten in NTLM-Clients (wie Outlook), sich mit entwendeten Net-NTLMv2-Hashwerten bei einem verwundbaren Exchange Server zu authentifizieren und Aktionen mit den Berechtigungen des ursprünglichen Opfers durchzuführen. Die Bewertung nach dem Common Vulnerability Scoring System (CVSS) in Version 3.1 ist mit einem Wert von 9.8 daher “kritisch”
bsi.bund.de (2024): Microsoft Exchange: Aktive Ausnutzung einer Zero-DaySchwachstelle, [online] https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-214205-1032.pdf?__blob=publicationFile&v=2 [16.02.2024].
Wer ist von dieser Sicherheitslücke betroffen?
Diese Sicherheitslücke betrifft alle Microsoft Exchange Server, bei denen Extended Protection nicht aktiviert ist.
Wie sollten Sie reagieren?
Microsoft hat am 13.02.2024 das CU14 für Microsoft Exchange Server 2019 veröffentlicht. Das CU14 aktiviert Extended Protection automatisch.
Die Aktivierung von Extended Protection, kann zu Problemen führen, je nachdem wie die Exchange Infrastruktur aufgebaut ist. Microsoft gibt in diesem Artikel Hinweise, wie Extended Protection zu aktivieren ist und welche Voraussetzungen erfüllt sein müssen.
Auch für Exchange Server 2016 und Exchange Server 2013 (End of Live) kann Extended Protection aktiviert werden. Dazu muss mindestens das August 2022 Sicherheitsupdate installiert sein.
Wir empfehlen die Exchange Server auf das jeweilige aktuelle CU zu updaten und die aktuellsten Sicherheitsupdates einzuspielen. Weiterhin sollte Extended Protection aktiviert werden. Ebenfalls empfehlen wir die Ausführung des Health Checker Skripts, um eventuell weitere Sicherheitslücken oder Probleme zu identifizieren.
https://microsoft.github.io/CSS-Exchange/Diagnostics/HealthChecker/
Als IT-Dienstleister übernehmen wir für unsere Kunden im Rahmen des Managed Server Vertrags die Schwachstellenerkennung und das Patchmanagement. Somit werden auch Exchange Server außerhalb der Arbeitszeit aktualisiert und Sicherheitslücken geschlossen.
Neueste Kommentare