Was ist passiert?
Aus Microsofts jüngstem Update geht hervor, dass, unter Ausnutzung einer Schwachstelle (CVE-2024-21410) Angreifer in der Lage sind, einen so genannten NTLM-Relay-Angriff durchführen, der auch als „Pass the Hash“ bekannt ist. NTLM ist eine Reihe von Sicherheitsprotokollen, die die Identität der Benutzer und die Vertraulichkeit ihrer Aktivitäten authentifizieren.
Bedrohungsakteure zielen auf Programme wie Outlook ab, die eine Schwachstelle aufweisen, um NTLM-Anmeldeinformationen zu erspähen. Das Programm wird dazu gebracht, sich gegenüber einem nachgestellten Server, den sie kontrollieren, zu authentifizieren. Sobald die Anmeldedaten offenliegen, können sie für böswillige Zwecke genutzt werden.
Was ist NTLM genau?
NTLM steht für New Technology LAN Manager. Dabei handelt es sich um eine Reihe von Sicherheitsprotokollen, die die Identität der Benutzer und die Vertraulichkeit ihrer Aktivitäten authentifizieren (CrowdStrike). Durch den Einsatz dieses Authentifizierungsverfahrens ist ein Single Sign-on auf Webservern oder Proxyservern unter Verwendung des Berechtigungsnachweises der Windows-Benutzeranmeldung möglich (Wikipedia).
Was sollten Sie tun?
- Unverzüglich patchen: Installieren Sie das kumulative Update 2024 H1 (CU14) für den Exchange Server 2019, um CVE-2024-21410 und weitere Anfälligkeiten zu schließen.
- Aktivieren Sie den erweiterten Schutz (Extended-Protection-for-Authentication): Lassen Sie das CU14 Setup zu, um EP auf Ihren Exchange 2019-Servern zu aktivieren. Stellen Sie die Bereitschaft sicher, indem Sie die im Exchange Server Health Checker-Skript und in der Dokumentation beschriebenen Voraussetzungen überprüfen.
- Prüfen Sie zusätzlich ob alle Clients in ihrem Netzwerk den letzten Updatestand der eingesetzten Office Produkte aufweisen und aktualisieren sie auch diese.
- Bleiben Sie auf dem Laufenden: Achten Sie kontinuierlich auf weitere Updates und Hinweise von Microsoft zu dieser Sicherheitslücke und damit verbundenen Bedrohungen.
Die Sicherheit der Exchange-Server-Umgebung Ihres Unternehmens ist von höchster Bedeutung. Handeln Sie schnell, um sich vor potenziellen Bedrohungen zu schützen und einen unterbrechungsfreien Betrieb zu gewährleisten.
Für Fragen stehen wir Ihnen gern zur Verfügung.