Exchange Server door kritiek lek kwetsbaar voor NTLM relay-aanvallen

[Captain Kirk]

Een kritieke kwetsbaarheid in Microsoft Exchange maakt het mogelijk om NTLM relay-aanvallen uit te voeren en zo toegang tot e-mailaccounts van gebruikers te krijgen, zo waarschuwt Microsoft dat beveiligingsupdates beschikbaar heeft gemaakt. De impact van de kwetsbaarheid, aangeduid als CVE-2024-21410, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

De NT LAN Manager (NTLM), en diens opvolger NTLMv2, is een challenge-en-response protocol voor het inloggen op Microsoft-accounts, waarbij gebruik wordt gemaakt van wachtwoordhashes. In het geval van een relay-aanval kan een aanvaller met de onderschepte hash van het slachtoffer inloggen op de Exchange-server. Een aanvaller zou hiervoor wel eerst de hash van de gebruiker moeten zien te krijgen, bijvoorbeeld door misbruik te maken van een kwetsbaarheid in Outlook, zo legt Microsoft uit.

Microsoft merkt verder op dat voor het verschijnen van de Exchange Server 2019 Cumulative Update 14 (CU14) update, Exchange Server standaard geen bescherming tegen relay-aanvallen had ingeschakeld. De gisteren uitgebrachte CU14-update zorgt ervoor dat de Extended Protection for Authentication (EPA) wel standaard wordt ingeschakeld. Meer details over het installeren van de updates geeft Microsoft in deze blogposting.

 

bron: https://www.security.nl