Eine kritische Sicherheitslücke, bekannt unter CVE-2024-21410, bedroht bis zu 97.000 Microsoft Exchange Server weltweit und wird bereits aktiv von Hackern ausgenutzt. Seit der Veröffentlichung eines Patches am 13. Februar, als das Problem bereits als Zero-Day-Schwachstelle ausgenutzt wurde, sind 28.500 Server nachweislich anfällig für diese Sicherheitslücke. Exchange Server sind in Geschäftsumgebungen weit verbreitet, um Kommunikation und Zusammenarbeit durch E-Mail, Kalender, Kontaktverwaltung und Aufgabenmanagement zu ermöglichen.
Diese Schwachstelle ermöglicht es nicht authentifizierten Akteuren, NTLM-Relay-Angriffe auf Microsoft Exchange Server durchzuführen und ihre Privilegien im System zu erhöhen. Der Überwachungsdienst Shadowserver hat etwa 97.000 potenziell gefährdete Server identifiziert, wobei für geschätzte 68.500 Server unklar ist, ob die notwendigen Schutzmaßnahmen umgesetzt wurden, während 28.500 Server bestätigt anfällig sind.
Deutschland, die Vereinigten Staaten, das Vereinigte Königreich, Frankreich, Österreich, Russland, Kanada und die Schweiz sind am stärksten betroffen. Derzeit gibt es keinen öffentlich verfügbaren Proof-of-Concept (PoC) Exploit für CVE-2024-21410, was die Anzahl der Angreifer, die die Schwachstelle ausnutzen, möglicherweise einschränkt.
Systemadministratoren wird dringend empfohlen, das kumulative Update 14 (CU14) für Exchange Server 2019, veröffentlicht im Rahmen des Patch-Dienstags im Februar 2024, zu installieren, welches Schutzmaßnahmen gegen NTLM-Relay-Angriffe aktiviert. Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat CVE-2024-21410 in ihren Katalog „Bekanntermaßen ausgenutzter Schwachstellen“ aufgenommen und gibt Bundesbehörden bis zum 7. März 2024 Zeit, die verfügbaren Updates zu implementieren oder den Einsatz des Produkts einzustellen.
Die Ausnutzung von CVE-2024-21410 kann schwerwiegende Folgen für eine Organisation haben, da Angreifer mit erhöhten Berechtigungen auf einem Exchange Server auf vertrauliche Daten wie E-Mail-Kommunikation zugreifen und den Server als Sprungbrett für weitere Angriffe im Netzwerk nutzen können.