![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Die Telekom und das CERT-Bayern haben Ende Februar 2024 eine Phishing-Kampagne des Angreifers TA577 beobachtet, die gezielt auf eine Outlook-Schwachstelle CVE-2024-21413 ausgerichtet ist. \u00dcber diese Schwachstelle, die im Februar 2024 geschlossen wurde, sollen gezielt NTLMv2-Hashes von angreifbaren Exchange-Systemen abgerufen werden. Ich greife das Ganze hier mal im Blog auf.<\/p>\n
<\/p>\n
Diesmal verbreitet der Akteur keine Schadsoftware, um Anmeldedaten\/Hashes zu stehlen. Vielmehr wird in den Phishing-Mails offenbar versucht, NTLMv2-Handshakes auszuf\u00fchren, um entsprechende NTLMv2-Hash zu erbeuten.<\/p>\n Die Opfer erhielten ein gezipptes HTML-Dokument, das \u00fcber den enthaltenen \"file:\/\/…\"-Link eine Verbindung an den SMB-Server des Angreifers weiterleitete. Eine solche URL f\u00fchrt im Edge oder Chrome beim \u00f6ffnen dazu, dass der Browser eine Verbindung zum Server des Angreifers herstellt, ohne eine Best\u00e4tigung zu verlangen! Dabei wird der NTLMv2-Hash \u00fcbermittelt.<\/p>\n Verbindet sich das System des Opfers mit dem SMB-Server des Angreifers, wird eine NTLMv2 Challenge\/Response-Authentifizierung durchgef\u00fchrt. Wer den Handshake genauer untersucht, kann mehrere verd\u00e4chtige Elemente darin erkennen.<\/p>\n Die Server-Challenge hat zum Beispiel immer den Wert \"aaaaaaaaaaaaaaaa\". Bei einem normalen Handshake sollte dieser Wert zuf\u00e4llig sein. Wenn der Angreifer beabsichtigt, das Kennwort aus der gehashten Antwort zu knacken, hilft die Festlegung eines festen Wertes erheblich, den Prozess zu beschleunigen, schreibt die Telekom hier<\/a>. Au\u00dferdem sind die im Handshake gesendeten Computernamen immer zuf\u00e4llige Sequenzen von 8 ASCII-Zeichen, was darauf hindeutet, dass der Angreifer impacket smbserver<\/em> verwendet, ein Pentesting-Tool, das \u00fcblicherweise verwendet wird, um NTLM-Hashes zu erhalten.<\/p>\n Derzeit ist nicht bekannt, was das eigentliche Ziel von TA577 bei diesem Angriff ist. Gestohlene NTLM-Hashes oder geknackte Passw\u00f6rter k\u00f6nnten f\u00fcr verschiedene Folgeangriffe verwendet werden. Eine Verbindung zu CVE-2024-21410 (Exchange NTLM Relay Vuln) ist m\u00f6glich. In der Zwischenzeit empfehlen die Telekom-Sicherheitsleute, ausgehende SMB-Verbindungen zum Internet in Unternehmensnetzwerken zu blockieren. Es ist zu erwarten, dass andere Bedrohungsakteure in naher Zukunft dieselbe Strategie f\u00fcr ihre Angriffe nutzen werden.<\/p>\n Beim Schreiben dieses Blog-Beitrags bin ich auf diesen frischen Artikel<\/a> gesto\u00dfen, der sich auf eine Beobachtung von ProofPoint st\u00fczt, die ebenfalls die Phishing-Welle zum 26.\/27. Februar 2024 beobachtet haben. ProofPoint hat die Kampagne samt den Details zum 4. M\u00e4rz 2024 im Beitrag TA577's Unusual Attack Chain Leads to NTLM Data Theft<\/a> dokumentiert.<\/p>\n \u00c4hnliche die Telekom vermute ich, dass TA577 die Schwachstelle CVE-2024-21410 \u00fcber Outlook ausnutzen m\u00f6chte. Ich hatte zum 15. Februar 2024 im Blog-Beitrag Microsoft Security Update Summary (13. Februar 2024)<\/a> \u00fcber die Microsoft Exchange Server Elevation of Privilege-Schwachstelle, CVEv3 Score 9.8, critical (kritisch) berichtet. Eine erfolgreiche Ausnutzung dieser Schwachstelle w\u00fcrde es einem Angreifer erm\u00f6glichen, einen New Technology LAN Manager Version 2 (NTLMv2) Hash gegen einen anf\u00e4lligen Server weiterzuleiten.<\/p>\n NTLM-Hashes k\u00f6nnten in NTLM-Relay- oder Pass-the-Hash-Angriffen missbraucht werden, um die Position eines Angreifers in einer Organisation zu st\u00e4rken. Laut Microsoft ist vor Exchange Server 2019 Cumulative Update 14 und fr\u00fcher standardm\u00e4\u00dfig kein Schutz f\u00fcr NTLM-Zugangsdaten-Relay aktiviert. Der Microsoft-Hinweis enth\u00e4lt einen Link zu einem Skript zur Aktivierung des Schutzes (es wird Extended Protection ben\u00f6tigt) und empfiehlt die Installation des neuesten kumulativen Updates, auch wenn das Skript zur Aktivierung des NTLM-Anmeldeinformations-Relay-Schutzes bereits ausgef\u00fchrt wurde.<\/p>\n Im Blog-Beitrag Nachlese zu CU 14 f\u00fcr Exchange 2019 und Schwachstelle CVE-2024-21410 (Feb. 2024)<\/a> finden sich einige Hinweise, was Administratoren zur Absicherung ihrer Exchange-Server tun m\u00fcssen.<\/p>\n \u00c4hnliche Artikel:<\/strong> Die Telekom und das CERT-Bayern haben Ende Februar 2024 eine Phishing-Kampagne des Angreifers TA577 beobachtet, die gezielt auf eine Outlook-Schwachstelle CVE-2024-21413 ausgerichtet ist. \u00dcber diese Schwachstelle, die im Februar 2024 geschlossen wurde, sollen gezielt NTLMv2-Hashes von angreifbaren Exchange-Systemen abgerufen werden. … Weiterlesen Ein Blog-Leser hat mich bereits am 28. Februar 2024 auf den Sachverhalt hingewiesen – ich komme erst jetzt dazu, das aufzugreifen. In einer Reihe an Tweets<\/a> schreibt Telekom Security, dass man mit dem Bayern-CERT am\u00a0 26. und 27. Februar 2024 Phishing-Kampagnen des Bedrohungsakteurs TA577 beobachtet habe.<\/p>\n
![](\"https:\/\/i.postimg.cc\/QNpBsfqm\/image.png\")
<\/a><\/p>\nAusnutzung der Schwachstelle CVE-2024-21410<\/h2>\n
\nMicrosoft Security Update Summary (13. Februar 2024)<\/a>
\nExchange Server Update CU 14 (13. Februar 2024)<\/a>
\nNachlese zu CU 14 f\u00fcr Exchange 2019 und Schwachstelle CVE-2024-21410 (Feb. 2024)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"