Die kritische Schwachstelle CVE-2024-21410 in Exchange Server, welche am 13.02.2024 öffentlich gemacht wurde, wird jetzt aktiv ausgenutzt. Die Schwachstelle CVE-2024-21410 ermöglicht Angreifern eine NTLM Relay Attacke (Pass the Hash). In diesem Fall können Angreifer einen Client wie Outlook dazu bringen sich gegenüber einen bösartigen Relay anzumelden um so an die NTLM Anmeldeinformationen zu kommen. Die NTLM Anmeldeinformationen können dann mittels Pass the Hash an den Exchange Server weitergeleitet werden. Angreifer können damit die Identität und die Rechte des Benutzers auf dem Exchange Server übernehmen.
Vor der Schwachstelle CVE-2024-21410 schützt das aktivieren der Extended Protection. Das kürzlich veröffentlichte Cumulative Update 14 für Exchange Server 2019 aktiviert Extended Protection in der Standardeinstellung bei der Installation. Wichtig zu wissen ist aber, dass das CU14 für Exchange 2019 nicht die Schwachstelle an sich schließt. Nur die Aktivierung der Extended Protection verhindert das Ausnutzen der Shcwachstelle. Wenn bei der Installation des CU14 das Setup mit den Schaltern „/DoNotEnableEP“ oder „/DoNotEnableEP_FEEWS“ ausgeführt wurde, ist CVE-2024-21410 weiterhin ausnutzbar. Auch wenn nachträglich die Extended Protection wieder deaktiviert wurde, sollte Extended Protection unbedingt wieder aktiviert werden.
Der größte Hinderungsgrund für das Aktivieren der Extended Protection, dürfte die Anforderung an das SSL Zertifikat sein. Auf allen Geräten wie Loadbalancern und Web Application Firewalls, welche SSL Inspection oder SSL Bridging durchführen, muss das gleiche Zertifikat verwendet werden. Hier muss man sich also Gedanken machen, wie man das gleiche Zertifikat auf allen relevanten Geräten installieren und erneuern kann. SSL Offloading wird mit Extended Protection nicht unterstützt.
Mit dem Exchange Health Checker lässt sich prüfen, ob die Extended Protection aktiviert ist.
Auch Exchange Server 2016 ist anfällig für CVE-2024-21410, auch hier hilft das Aktivieren der Extended Protection. Für Exchange 2016 die Extended Protection über ein PowerShell Script aktiviert werden. Ein Sicherheitsupdate welches die Schwachstelle auch ohne das Aktivieren der Extended Protection schließt, wurde bisher nicht veröffentlicht.
