{"id":292554,"date":"2024-02-21T15:13:59","date_gmt":"2024-02-21T14:13:59","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=292554"},"modified":"2024-02-21T23:44:43","modified_gmt":"2024-02-21T22:44:43","slug":"mehr-als-28-500-exchange-server-ber-cve-2024-21410-angreifbar-mehr-software-betroffen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/21\/mehr-als-28-500-exchange-server-ber-cve-2024-21410-angreifbar-mehr-software-betroffen\/","title":{"rendered":"Mehr als 28.500 Exchange Server über CVE-2024-21410 angreifbar; mehr Software betroffen?"},"content":{"rendered":"

\"Exchange[English<\/a>]Seit dem 13. Februar 2024 ist ja eine Schwachstelle CVE-2024-21410 bekannt, \u00fcber die Angreifer NTLM-Hashes per Microsoft Exchange Server abgreifen und dann f\u00fcr NTLM-Relay- oder Pass-the-Hash-Angriffe missbrauchen k\u00f6nnen. Nun habe ich gelesen, dass mehr als 28.500 Exchange Server \u00fcber CVE-2024-21410 angreifbar sind. Administratoren m\u00fcssen also handeln und ihre IT-Infrastruktur absichern. In diesem Kontext ist mir auch noch eine Analyse von Frank Carius untergekommen, der die Schwachstelle nicht beim Exchange Server sondern beim IIS sieht. Es ist also potentiell wesentlich mehr betroffen.<\/p>\n

<\/p>\n

R\u00fcckblick Schwachstelle CVE-2024-21410<\/h2>\n

\"\"Ich habe mich hier im Blog ja bereits ausgiebiger mit der Schwachstelle CVE-2024-21410 befasst. Im Beitrag Microsoft Security Update Summary (13. Februar 2024)<\/a> findet sich der Hinweis, dass es sich bei CVE-2024-21410<\/a> um eine Microsoft Exchange Server Elevation of Privilege-Schwachstelle handelt, die als kritisch und mit dem CVEv3 Score 9.8 eingestuft ist. Eine erfolgreiche Ausnutzung dieser Schwachstelle w\u00fcrde es einem Angreifer erm\u00f6glichen, einen NTLMv2 Hash gegen einen anf\u00e4lligen Server weiterzuleiten. NTLM2.0-Hashes k\u00f6nnten in NTLM-Relay- oder Pass-the-Hash-Angriffen missbraucht werden.<\/p>\n

Administratoren k\u00f6nnen in Microsoft Exchange Server die Extended Protection (EP) aktivieren, um gegen diese Art Angriffe gesch\u00fctzt zu sein. Ich hatte dazu was im Blog-Beitrag Nachlese zu CU 14 f\u00fcr Exchange 2019 und Schwachstelle CVE-2024-21410 (Feb. 2024)<\/a> geschrieben. Alternativ k\u00f6nnen IT-Administratoren die NTLM-Authentifizierung gegen eine Kerberos-Authentifizierung ersetzen, um das Risiko, dass NTLM2.0-Hashes abgegriffen werden k\u00f6nnen, erst gar nicht aufkommen zu lassen.<\/p>\n

R.S. hatte in diesem Kommentar<\/a> was dazu geschrieben, und darauf hingewiesen, dass die NTLM-Hashes nur von au\u00dfen abgegriffen werden k\u00f6nnen, wenn der Port 445 (SMB) in der Firewall nach au\u00dfen hin offen ist. Das sollte in einer guten Konfiguration nicht der Fall sein. Und in diesem Kommentar<\/a> habe ich die beiden Artikel von Frank Z\u00f6chling zur Umstellung auf Kerberos-Authentifizierung verlinkt.<\/p>\n

Exchange 2013: Authentifizierung auf Kerberos umstellen<\/a>
\nExchange 2019: Kerberos Authentifizierung aktivieren<\/a><\/p>\n

Eigentlich eine IIS-Schwachstelle<\/h2>\n

Frank Carius hat sich des Themas nochmals angenommen und weist ebenfalls darauf hin, dass CVE-2024-21410 eigentlich keine Exchange Server-Schwachstelle ist. Sondern es erfolgt ein NTLM-Angriff zum Abgriff der Hashes auf den von Exchange Server verwendeten Internet Information Server (IIS).<\/p>\n

<\/a><\/p>\n

Frank weist in obigem Tweet<\/a> auf seine Einsch\u00e4tzungen hin und schreibt, dass die Schwachstelle f\u00fcr jede Webseite oder jedes virtuelle Verzeichnis gilt, f\u00fcr die folgendes zutrifft:<\/p>\n