{"id":292280,"date":"2024-02-15T16:01:17","date_gmt":"2024-02-15T15:01:17","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=292280"},"modified":"2024-02-19T01:02:38","modified_gmt":"2024-02-19T00:02:38","slug":"nachlese-zu-cu-14-fr-exchange-2019-und-schwachstelle-cve-2024-21410-feb-2024","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/15\/nachlese-zu-cu-14-fr-exchange-2019-und-schwachstelle-cve-2024-21410-feb-2024\/","title":{"rendered":"Nachlese zu CU 14 für Exchange 2019 und Schwachstelle CVE-2024-21410 (Feb. 2024)"},"content":{"rendered":"

\"Exchange[English<\/a>]Zum 13. Februar 2024 wurde ja eine kritische Schwachstelle CVE-2024-21410 in Microsoft Exchange Server \u00f6ffentlich. Die Elevation of Privilege-Schwachstelle hat den CVEv3 Score 9.8 und wird wohl (bald) ausgenutzt. Sicherheitsbeh\u00f6rden warnen vor dieser Schwachstelle. In der Blog-Leserschaft gab es aber Verwirrung, weil zum 13. Februar nur das CU 14 f\u00fcr Exchange Server 2019 gab, welches die Schwachstelle aber nicht explizit schlie\u00dft. Was ist mit Exchange Server 2016 und was muss ich tun, um vor CVE-2024-21410 gesch\u00fctzt zu sein. Hier eine Nachlese mit einem groben Abriss.<\/p>\n

<\/p>\n

Die Schwachstelle CVE-2024-21410<\/h2>\n

\"\"Ich hatte im Blog-Beitrag Microsoft Security Update Summary (13. Februar 2024)<\/a> vom 13. Februar 2024 auf die Microsoft Exchange Server Elevation of Privilege-Schwachstelle CVE-2024-21410<\/a> hingewiesen. Die Schwachstelle ist mit einem CVEv3.1 Score 9.8 als kritisch eingestuft. Inzwischen gibt Microsoft an, dass es zu Angriffen kommt. Die erfolgreiche Ausnutzung dieser Schwachstelle erm\u00f6glicht es einem Angreifer, einen New Technology LAN Manager Version 2 (NTLMv2) Hash gegen einen anf\u00e4lligen Server weiterzuleiten. NTLM-Hashes k\u00f6nnten in NTLM-Relay- oder Pass-the-Hash-Angriffen missbraucht werden, um die Position eines Angreifers in einer Organisation zu st\u00e4rken.<\/p>\n

<\/p>\n

Das BSI warnt<\/a> inzwischen vor dieser kritischen Schwachstelle, nachdem Microsoft den Hinweis, dass die Sicherheitsl\u00fccke bereits aktiv ausgenutzt wird, erg\u00e4nzt hat. Die Schwachstelle erm\u00f6glicht es externen Angreifenden im Zusammenhang mit potenziellen weiteren Verwundbarkeiten in NTLM-Clients (wie Outlook), sich mit entwendeten Net-NTLMv2-Hashwerten bei einem verwundbaren Exchange Server zu authentifizieren und Aktionen mit den Berechtigungen des urspr\u00fcnglichen Opfers durchzuf\u00fchren.<\/p>\n

Den Exchange Server sch\u00fctzen<\/h2>\n

Als ich die obigen Beitr\u00e4ge zum Patchday schrieb, war (mir) noch unklar, wie man die Exchange Server sch\u00fctzen k\u00f6nnte. Zum 13. Februar 2024 gab es ja nur ein kumulatives Update (CU 14) f\u00fcr Exchange Server 2019, welches aber keinen Patch vor der Schwachstelle enth\u00e4lt. Inzwischen ist klar, dass der Schutz anders funktioniert und auch Exchange Server 2016 gesch\u00fctzt werden kann.<\/p>\n