Zero-Day-Schwachstelle in MS Exchange Server

Angreifende nutzen die Schwachstelle im Exchange Server in Verbindung mit Sicherheitslücken anderer Microsoft-Produkte aus, z. B. Outlook. Zuvor haben die Täter Zugangsdaten echter Personen entwendet. Diese Daten können sie nutzen, um sich beim Exchange Server unter falscher Identität anzumelden und dort anschließend Aktionen auszuführen. Das teilte das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit.

Von den Schwachstellen betroffen sind Versionen von Microsoft Exchange Server vor Cumulative Update 14 für Exchange Server 2019.

Im Zusammenhang mit der Exchange-Schwachstelle ist eine Schwachstelle in Outlook zu sehen. Über diese RCE-Sicherheitslücke können Angreifende bereits über das Vorschaufenster von Outlook ihre Rechte erhöhen. Die betreffende Mail muss also nicht einmal geöffnet werden.

Eckdaten zu der Schwachstelle

CVE-Nummern (mit CVSS-Base-Score):

• CVE-2024-21410: 9.8 (kritisch)
• CVE-2024-21413: 9.8 (kritisch)

Die Exchange-Schwachstelle bietet in Verbindung mit der Outlook-Schwachstelle ein vergleichsweise einfaches Angriffsszenario.

Solche sogenannten NTLM-Relay-Angriffe können durch das Aktivieren des integrierten Schutz-Features Extended Protection (EP), genauer Extended Protection for Authentication (EPA), vermieden werden.

Aufgrund des Schweregrads der Exchange-Schwachstelle und da sie bereits ausgenutzt wurde, empfiehlt das BSI rasch zu handeln:

• Aktivieren Sie das Sicherheits-Feature Extended Protection (EP). Installieren Sie dazu das Cumulative Update 14 für Exchange Server 2019. Bei älteren Versionen aktivieren Sie EP manuell.
• Hinweise zur Konfiguration und zu den Voraussetzungen von EP finden Sie in der zugehörigen Dokumentation unter unten aufgeführtem Link.
• Prüfen Sie mit dem Tool HealthChecker, ob auf dem Exchange Server EP aktiviert ist. Wie Sie HealthChecker installieren und verwenden, erfahren Sie unter unten angegebenem Link.
• Aktualisieren Sie Outlook auf die neueste Version.