+49 541 9493 0
Kontaktformular
Newsletter

Blog

Achtung! Sicherheitslücken in Microsoft Outlook (CVE-2024-21413) und Exchange (CVE-2024-21410)

Autor:in Andreas Niethus Team Lead Security & Network

Durch die erfolgreiche Ausnutzung der Schwachstelle CVE-2024-21410 in Microsoft Exchange kann ein Angreifer Zugang zu Postfächern von Nutzern erhalten, deren Software Microsoft Outlook gegen die Schwachstelle CVE-2024-21413 verwundbar ist. Für beide Schwachstellen wurde von Microsoft im Februar-Patchday eine Lösung veröffentlicht. Warum die Gefahr dadurch nicht gebannt ist, erfahren Sie im Folgenden:

Bei der Sicherheitslücke CVE-2024-21413 wird ein uns allen bekannter Angriffsvektor genutzt: Phishing! Wir kennen die mittlerweile sehr gut formulierten E-Mails, die unsere Mitarbeitenden dazu verleiten sollen, über echt und vertrauenswürdig wirkende Webseiten-Links und im späteren Verlauf Webseiten diverse Anmeldeinformationen, persönliche Details oder gar Kontonummern preiszugeben. Glücklicherweise gibt es User Awareness Dienste, die unseren Mitarbeitenden vollautomatisiert und doch individualisiert erklären, wie sie sich und ihr Unternehmen vor solchen Gefahren schützen können.

Die genannte Sicherheitslücke kann ausgenutzt werden, wenn der Mitarbeitende sich falsch verhält. Hier reicht der Klick auf den Webseiten-Link aus, um den Prozess auszulösen. Durch den Aufruf des Webseiten-Links kommuniziert das E-Mail-Programm des Benutzers mit einem kompromittierten Server und übermittelt automatisch seine Anmeldeinformationen an den Angreifer, während sich der Benutzer in Sicherheit wiegt, weil auch nach mehrfachem Anklicken nichts Verdächtiges auf seinem Bildschirm passiert ist.

Der Angreifer kann infolgedessen die gesammelten Informationen nutzen, um durch Ausnutzung der Microsoft Exchange-Schwachstelle CVE-2024-21410 die Anmeldung zu umgehen und sich so Zugang zum E-Mail-Postfach des Mitarbeitenden zu verschaffen. Mit dem Zugriff auf dessen E-Mail-Postfach können alle enthaltenen Informationen gelesen und zum Angreifer übertragen werden, d.h. Namen von Kollegen und Kunden, E-Mail-Adressen, Adressinformationen, Firmennamen, Notizen, Kalendereinträge usw.

Die Schwachstellen in sowohl Microsoft Exchange als auch Microsoft Outlook wurden durch die bereits veröffentlichten Februar-Aktualisierungen vom Hersteller Microsoft geschlossen. Das Update ist öffentlich verfügbar und muss durch das IT-Personal auf die Anwender-Systeme übernommen werden. Im Falle der Outlook-Aktualisierung stellt dies kein Problem dar.

Im Falle des Microsoft Exchange Servers sind allerdings die IT-Administratoren gefordert, das aktuelle „Cumulative Update“ schnellstmöglich manuell zu installieren. Die manuelle Installation ist bei Microsoft Exchange Servern erforderlich, weil der Server während der Installation gestoppt werden muss und für Zugriffe nicht verfügbar ist.

Mit der Installation der Aktualisierung wird das Sicherheits-Feature „Extended Protection“ (EP) bzw. in vollem Namen „Extended Protection for Authentication (EPA)“ im Falle von Exchange 2019 standardmäßig aktiviert. Im Falle der Nutzung von Exchange Server 2013 und 2016 sind manuelle Schritte erforderlich, die am Ende des folgenden Technical Deep-Dives erläutert werden. Die Aktivierung von EP/EPA sorgt bei einer individualisierten Serverkonfiguration für einen erheblichen Mehraufwand in der Vorbereitung, bevor EP/EPA überhaupt aktiviert werden kann (siehe Technical Deep-Dive).

Erst mit der Installation beider Aktualisierungen und der Aktivierung des Features EP/EPA sind die Angriffe über die hier beschriebene Vorgehensweise nicht mehr möglich. Wir empfehlen die Aktualisierung sofort umzusetzen! Sollten Sie dabei Unterstützung benötigen, kommen Sie gern auf unseren ServiceDesk zu.

Technical Deep-Dive

Der Technical Deep-Dive baut auf den Informationen der vorherigen Abschnitte auf. Starten wir direkt bei dem auslösenden Element: der E-Mail.

Die Phishing-E-Mail in Outlook wird einen Link in Text- oder Medienform bereitstellen, um den Benutzer dazu zu verleiten, auch durch einen unabsichtlichen Klick den Link aufzurufen. Der Link führt allerdings nicht auf eine Webseite, auf der der Nutzer aufgefordert wird, persönliche oder betriebliche Daten einzugeben, sondern referenziert direkt auf eine Datei auf einem Dateiserver mit angehängtem Parameter.

In der Realität wird der Link auf eine öffentliche IP oder einen FQDN verweisen – zur Demonstration wird hier ein willkürlicher FQDN verwendet, um Dritten nicht durch Falschinformation Schaden zuzufügen. Der Link würde also im Mouse-Over so aussehen: „\\unternehmen.firma.tld\news\praktikumstag.rtf!start“. Wie man sieht, wird hier nicht mit dem https://-Protokoll gearbeitet, sondern mit dem file-Protokoll und damit mit SMB.

Würde der Link lediglich auf \\unternehmen.firma.tld\news\praktikumstag.rtf verweisen, sollte Outlook einen unerwarteten Fehler (Warnung) in der Notification-Area anzeigen. Gepaart mit dem Parameter „!start“ oder einem beliebig anderen hingegen, wird die Linkprüfung von Microsoft Outlook umgangen und die angezeigte Ressource ausgeführt, was gleichzeitig die Schwachstelle darstellt.

Der Aufruf des Links erfolgt entsprechend mittels SMB. Für den Benutzer passiert im Frontend effektiv nichts; für ihn sieht es so aus, als wäre der Link einfach nicht funktionsfähig. Die Schwachstelle bringt Windows dazu, den Link in z.B. Microsoft Word als Hintergrund-Prozess (COM-Dienst) auszuführen. Da es sich um einen Aufruf via SMB handelt, stellt Windows einen NTLM Session Request mit den Anmeldedaten des Benutzers, wodurch der Benutzername, der NTLM Hash (gehashtes Passwort, nicht Klartext-Passwort) usw. abgegriffen werden können. Microsoft selbst hat die kritische Bewertung eines über diesen Vorgang durchgeführten Angriffs bereits teilweise zurückgezogen; gleichzeitig wächst aber die Anzahl der möglichen Exploits stark an, was vermutlich das globale Aufkommen von Phishing-Mails weiter erhöhen könnte. Durch die mitgeschnittenen NTLM-Daten kann nun ein NTLM-Relay-Angriff durch Ausnutzung der Schwachstelle CVE-2024-21410 erfolgen. Der Angriff verfolgt dabei das Prinzip „Pass the Hash“, indem durch die Schwachstelle die Authentifizierung nicht durch Benutzer + Passwort erfolgen muss, sondern auch durch die mitgeschnittenen Daten erfolgen kann.

EP/EPA

EP/EPA wird bereits seit Längerem von Microsoft Exchange unterstützt und konnte bislang optional aktiviert werden. Die Mindest-Serverversionen für die Nutzung sind:

  • Exchange Server 2013 CU23 (Build 15.00.1497.040) – August 2022
  • Exchange Server 2016 CU23 (Build 15.01.2507.012) – August 2022
  • Exchange Server 2019 CU12 (Build 15.02.1118.012) – August 2022

 

Die standardmäßige Aktivierung von EP/EPA erfolgt lediglich in Exchange Server 2019 mit Übernahme der Exchange Server 2019 CU14 (KB5035606). Auf den anderen Versionen 2013 & 2016 kann EP/EPA optional aktiviert werden; dazu erforderlich sind o.g. Versionen.
EP/EPA setzt voraus, dass

  • TLS 1.2 aktiviert ist
  • eine URL-Freigabe beim ausgehenden HTTPS-Proxy eingetragen ist
  • der eingehende HTTPS-Proxy mit demselben Zertifikat arbeitet wie der/die Exchange Server
  • der eingehende HTTPS-Proxy kein SSL-Offloading verwendet
  • das intern verwendete Zertifikat dasselbe ist wie das extern verwendete

 

Sofern Unterstützung bei der Umsetzung gewünscht ist, kommen Sie gern auf unseren ServiceDesk zu. Telefonisch erreichen Sie den ServiceDesk unter der Nummer 0541 9493111.

Diese Artikel könnten Sie ebenfalls interessieren:

AllgemeinNews

Microsoft Dynamics Customer Insights: Die Fusion von Dynamics Marketing und Customer Insights

Microsoft Dynamics Customer Insights: Die Fusion von Dynamics Marketing und Customer Insights

Bisher galten Microsoft Dynamics Marketing und Microsoft Dynamics Customer Insights als zwei eigenständige Microsoft-Produkte mit unterschiedlichen Funktionen.
AllgemeinKarriere

It’s your future – Zukunftstag 2023 

It’s your future – Zukunftstag 2023 

Am 27.04.2023 fand auch in der SIEVERS-GROUP der deutschlandweite und von unseren Azubis geplante Zukunftstag statt.
Kontakt

Vereinbaren Sie ein
unverbindliches Erstgespräch

*“ zeigt erforderliche Felder an

Hidden
Newsletter
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Webcastaufzeichnung

*“ zeigt erforderliche Felder an

Newsletteranmeldung
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Whitepaper herunterladen

*“ zeigt erforderliche Felder an

Newsletteranmeldung
Dieses Feld dient zur Validierung und sollte nicht verändert werden.