Microsoft: 73 Sicherheitslücken mit kritischer Schwachstelle im Exchange Server

Im Februar 2024 hat Microsoft eine Warnung für insgesamt 73 Sicherheitslücken veröffentlicht – darunter 6 kritische Probleme, 52 Schwachstellen mit hohem und 15 mit mittlerem Schweregrad. Bei 30 davon handelt es sich um Remote Code Execution [T1210] und bei 16 um die Ausnutzung von Privilegien [TA0004]. Aus dieser Gruppe stechen drei CVEs hervor, die aktiv ausgenutzt werden: CVE-2024-21410 (CVSS 9.8 Critical), CVE-2024-21412 (CVSS 8.1 High) und CVE-2024-21351 (CVSS 7.6 High).

15 der 73 Schwachstellen betrafen den Microsoft WDAC OLE DB-Provider für SQL, 8 wurden in Microsoft Dynamics gemeldet, einem Cloud-Dienst zur Strukturierung von Unternehmensprozessen, der mit Microsoft 365 integriert ist. Für den Windows-Kernel wurden 6 CVEs gemeldet und gepatcht. Die vollständige Liste der Sicherheitslücken steht im offiziellen Microsoft-Bericht für Februar 2024.

Aktiv ausgenutzt: CVE-2024-21410 in Exchange

Bei der Sicherheitslücke CVE-2024-21410 (CVSS 9.8 Critical) handelt es sich um einen Authentifizierungs-Wiederholungsangriff [CWE-294] auf Microsoft Exchange Server, der das Net-NTLMv2-Protokoll verwendet. Die Schwachstelle ermöglicht es Angreifern, die Net-NTLMv2-Anmeldeinformationen eines Opfers abzufangen, um die Privilegien auf dem System für einen nicht authentifizierten Zugriff zu erweitern. Da CVE-2024-21410 eine Pass-the-Hash [CWE-836]-Schwachstelle ist, gilt sie als wenig komplex und kann von jedem Angreifer mit gestohlenen Anmeldeinformationen ausgenutzt werden. Daher stellt CVE-2024-21410 ein hohes Risiko dar für die Vertraulichkeit und Integrität der internen E-Mail-Kommunikation sowie für die in einer Exchange Server-Instanz enthaltenen Daten wie Kontaktlisten, gemeinsame Ressourcen oder Zeitpläne.

CVE-2024-21410 wird in der KEV-Datenbank (Known Exploited Vulnerabilities) der CISA als aktiv ausgenutzt gemeldet. Obwohl die jüngsten Angriffe nicht offiziell zugeordnet werden können, haben Insider festgestellt, dass der von Russland unterstützte Akteur APT28 aktiv NTLM ausnutzt und für Angriffstechniken wie Access Token Manipulation [T1134] und Token Impersonation/Theft [T1134.001] bekannt ist, um unbefugten Zugang zu E-Mail-Servern zu erhalten.

28.500 Microsoft Exchange Server wurden als verwundbar identifiziert, wobei ein Bericht der Security-Experten von Shadowserver sogar schätzt, dass bis zu 97.000 IPs potenziell betroffen sind. Greenbone bietet sowohl einen lokalen Sicherheitscheck (LSC) als auch Remote-Versionsprüfungen zur Identifizierung von Microsoft Exchange-Servern, die von CVE-2024-21410 betroffen sind.

So wird CVE-2024-21410 ausgenutzt:

CVE-2024-21410 (CVSS 9.8 Kritisch): Ein Angreifer könnte einen Net-NTLMv2-Client wie Outlook von einem kompromittierten Endpunkt aus mit einem Credential-Leak-Exploit über einen kompromittierte Position im Netzwerk mit einem Tool wie Responder oder über eine AiTM-Position (Adversary in the Middle) angreifen, indem er unverschlüsselten Netzwerkverkehr abfängt. Die erhaltenen Anmeldeinformationen können dann an den Exchange Server weitergegeben werden, um die Rechte des Opfers zu erlangen und um in seinem Namen Aktionen auf dem Exchange-Server durchzuführen. Für CVE-2024-21410 muss der erfasste Net-NTLMv2-Hash nicht geknackt werden, da er direkt wiedergegeben werden kann.

Was ist das NTLM-Authentifizierungsprotokoll?

Das Authentifizierungsprotokoll NTLM (NT LAN Manager) ist ein von Microsoft entwickeltes proprietäres Protokoll, das auf das 1993 veröffentlichte Betriebssystem Windows NT zurückgeht. NTLM wurde als Standard-Authentifizierungsprotokoll in Windows 2000 durch Kerberos ersetzt. Die Protokolle Net-NTLMv1 und Net-NTLMv2 verwenden das Basispasswort des Benutzers, das als Hash (NTHash genannt) in einem Challenge-Response-Authentifizierungs-Handshake gespeichert wird, um einen autorisierten Benutzer zu verifizieren. Eine detaillierte Beschreibung der Algorithmen, die in Net-NTLMv1 und Net-NTLMv2 verwendet werden, ist auf der Medium-Plattform zu finden.

Net-NTLMv2 (NT LAN Manager Version 2) ist eine Verbesserung des älteren NTLM-Protokolls und bietet bessere Sicherheitsfunktionen gegen bestimmte Arten von Angriffen. Net-NTLMv2 wird immer noch von verschiedenen Microsoft-Produkten und -Diensten in Windows-basierten Netzwerken unterstützt. Aufgrund des Potenzials für einfache Replay-Angriffe mit gestohlenen Anmeldeinformationen [CWE-294] wurde NTLM jedoch bereits direkt eine CVE (CVE-2021-31958) zugewiesen, und seine Verwendung stellt ein ernsthaftes Sicherheitsrisiko über unbefugten Zugriff dar. In Anbetracht der Tatsache, dass Microsoft die Sicherheitsrisiken von NTLM im Jahr 2021 offiziell anerkannt hat, sollte es allgemein als anfälliges Protokoll betrachtet und durch eine sicherere Authentifizierung mit öffentlichen Schlüsseln ersetzt werden, wo immer es verwendet wird.

Zu den wichtigsten Produkten, die die Verwendung von Net-NTLMv2 noch unterstützen, gehören alle Windows-Betriebssysteme, Active Directory (AD), Microsoft Exchange Server, Microsoft SQL Server, Internet Information Services (IIS), SMB-Protokoll, Remote Desktop Services und andere Anwendungen von Drittanbietern.

Behandlung von CVE-2024-21410

Das kumulative Update 14 (CU14) für Exchange Server 2019 wurde von Microsoft veröffentlicht (2024 H1) und ermöglicht es Betreibern der betroffenen Versionen, ihr gefährdetes Produkt zu patchen. Das CU14-Update aktiviert standardmäßig den erweiterten Schutz für die Authentifizierung (EPA), der sonst manuell eingerichtet werden müsste.

Falls die Installation von CU14 nicht möglich ist oder für Administratoren von Exchange Server 2016, können die Exchange Extended Protection-Dokumentation und das ExchangeExtendedProtectionManagement.ps1-Skript verwendet werden, um EPA für Exchange Server zu aktivieren. Microsoft verweist auch auf eigene Workarounds zur Abschwächung von Pass-the-Hash-Angriffen in Bezug auf die Abschwächung des Risikos von CVE-2024-21410.

Basis für weitere Exploits: Von CVE-2024-21410 auf CVE-2024-21378

Angreifer, die sich unbefugten Zugang zu einem anfälligen Microsoft Exchange-Server verschaffen, können ihre Exploit-Kette fortsetzen, indem sie eine andere Schwachstelle ausnutzen, die in der Februar-2024-Gruppe offengelegt wurde: CVE-2024-21378 (CVSS 8.0 High), um starke Auswirkungen auf Endpunkte zu erzielen, auf denen Microsoft Outlook 2016-Client oder Microsoft Office 365 (2016 Click-to-Run) läuft. CVE-2024-21378 ist eine Schwachstelle für Remote Code Execution (RCE), die eine Benutzerinteraktion erfordert. Eine Voraussetzung für die Ausnutzung von CVE-2024-21378 ist ein authentifizierter Zugriff auf einen Microsoft Exchange-Server oder einen anderen Microsoft LAN-Dienst, der es einem Angreifer ermöglicht, Benutzer auf demselben Domain-Controller durch die Bereitstellung von Schadcode zu kompromittieren. Darüber hinaus kann CVE-2024-21378 einfach durch eine Vorschau des Codes ausgenutzt werden.

Greenbone kann Systeme, die von CVE-2024-21378 betroffen sind, mit lokalen Sicherheits-Checks für Microsoft Outlook 2016 und Microsoft Office 365 (2016 Click-to-Run) identifizieren.

CVE-2024-21351: Windows SmartScreen

CVE-2024-21351 (CVSS 7.6 High) ist eine RCE-Schwachstelle im Security-Feature Windows SmartScreen. Die Ausnutzung von CVE-2024-21351 könnte sensible Daten offenlegen und die Integrität und Verfügbarkeit von Dateien gefährden, erfordert aber menschliche Interaktion. Das Opfer muss klicken, um eine vom Angreifer bereitgestellte bösartige Datei zu öffnen. CVE-2024-21351 wurde am 13. Februar 2024 zusammen mit CVE-2024-21412 in den CISA-KEV-Katalog aufgenommen.

CVE-2024-21412: Internet Shortcut Files

CVE-2024-21412 (CVSS 8.1 High) ist eine Schwachstelle im Security-Feature der Internet Shortcut Files, die es einem nicht authentifizierten Angreifer ermöglicht, Dateien zu verbreiten, mit denen sichtbare Sicherheitsmaßnahmen umgangen werden können. Der Angreifer kann einen Benutzer nicht dazu zwingen, auf Inhalte unter seiner Kontrolle zuzugreifen, er muss den Benutzer aber nur dazu bringen, aktiv auf den Dateilink zu klicken, um den Angriff zu starten.

Behandlung von CVE-2024-21351 und CVE-2024-21412

CVE-2024-21351 und CVE-2024-21412 können durch die Installation von Microsofts kumulativem Patch vom Februar 2024 unter Kontrolle gebracht werden. Bekannt als „Patch Tuesday“, veröffentlicht Microsoft kumulative Patches am zweiten Dienstag eines jeden Monats. Da die Unterstützung von Microsoft für Windows 7 abgelaufen ist, werden keine Patches zur Behebung dieser Sicherheitslücken mehr veröffentlicht. Zu den betroffenen Versionen von Microsoft Windows, die Patches erhalten werden, gehören:

• Microsoft Windows Server 2022 & 2019
• Microsoft Windows 11 Version 21H2, 22H2 & 23H2 für x64-basierte Systeme
• Microsoft Windows 10 Versionen 1809, 21H2 & 22H2 für 32-bit und x64-basierte Systeme