Angreifer verschaffen sich Zugriff auf Exchange Server
Aktuell versuchen Angreifer, Zugriff auf Exchange Server zu erlangen, um sie zu kompromittieren. Es gibt Schutzlösungen, die zur Verfügung stehen. Microsoft hat eine Warnung zu einer „kritischen“ Sicherheitslücke in Exchange Server aktualisiert und informiert nun über laufende Angriffe. Der genaue Umfang dieser Angriffe wird derzeit nicht vom Hard- und Softwareentwickler bekannt gegeben. Administratoren sollten sofort die bereits veröffentlichten Sicherheitspatches installieren.
Die Schwachstelle
Angreifer nutzen erfolgreich die Schwachstelle (CVE-2024-21410) aus, um eine NTLM-Relay-Attacke (Pass the Hash) durchzuführen. Dabei können sie beispielsweise an einem NTLM-Client mit der Sicherheitsanfälligkeit „Offenlegen von NTLM-Anmeldeinformationen“, wie Outlook, angreifen. Hierbei erzwingen sie die Authentifizierung gegenüber einem bösartigen Relay und nutzen die erlangte Identität in Form eines Net-NTLMv2-Hash im Netz für ihre Zwecke aus, wie von Microsoft im aktualisierten Beitrag beschrieben.
Was zum Schutz gemacht werden kann
Um NTLM-Anmeldeinformationen vor solchen Angriffen zu schützen, verwenden Exchange Server den Extended-Protection-for-Authentication-Ansatz (EPA). Standardmäßig ist dieser jedoch nicht aktiviert. Durch die Installation von Exchange Server 2019 Cumulative Update 14 wird EPA standardmäßig aktiviert und bietet Schutz vor solchen Angriffen. Weitere Einzelheiten dazu liefert Microsoft in einem Beitrag.
Exchange Server 2016 unterstützt EPA seit August 2022. Administratoren müssen den Schutz jedoch über ein Skript aktivieren. Bevor sie dies tun, sollten sie den Text sorgfältig lesen, um mögliche Probleme durch die Aktivierung in ihrer IT-Infrastruktur zu erkennen.
Informationen über die Exchange-Schwachstelle wurden am Patchday im Februar 2024 öffentlich bekannt gegeben. Zu diesem Zeitpunkt waren jedoch noch keine Angriffe bekannt.