For English, see below.
BeschrijvingMicrosoft heeft tijdens de laatste maandelijkse patchronde zowel een ernstige kwetsbaarheid in Microsoft Exchange (CVE-2024-21410) als in Microsoft Outlook (CVE-2024-21413) verholpen. Door deze twee kwetsbaarheden te combineren, kunnen aanvallers een succesvolle NTLM-relayaanval uitvoeren waarbij ze verbinding kunnen maken met een Exchange-server van de organisatie met de rechten van een aangevallen slachtoffer. Microsoft geeft nu aan dat de kwetsbaarheid in Microsoft Exchange al actief misbruikt wordt. Ook het uitbuiten van de kwetsbaarheid in Microsoft Outlook lijkt eenvoudig en details hierover zijn beschreven door CheckPoint. Misbruik bestaat eruit dat een slachtoffer een e-mail opent en vervolgens een malafide link benadert. Na het openen van de link krijgt de aanvaller een authenticatiepoging vanuit de gebruiker in handen die hij vervolgens kan doorzetten (“relayen’) naar een kwetsbare Exchange-server om namens de gebruiker in te loggen. Kwetsbare versiesDe volgende versies van Microsoft Exchange zijn kwetsbaar voor CVE-2024-21410 indien Extended Protection for Authentication (EPA) hierop nog niet is ingeschakeld:
De volgende versies van Microsoft Outlook zijn kwetsbaar voor CVE-2024-21413:
Oplossingen en tijdelijke mitigatiesMicrosoft heeft updates voor Microsoft Exchange en Microsoft Outlook uitgebracht om deze kwetsbaarheden te verhelpen. De updates voor Microsoft Exchange zorgen ervoor dat Extended Protection for Authentication (EPA) wordt ingeschakeld op alle Exchange servers. Deze functionaliteit is in augustus 2022 al geïntroduceerd met updates voor Exchange, maar werd nog niet standaard geactiveerd. De nieuwste updates voor Exchange zorgen ervoor dat EPA standaard wel wordt geactiveerd. Mocht een organisatie de EPA-functionaliteit al eerder zelf hebben ingeschakeld, dan zijn de Exchange servers niet kwetsbaar. Hoewel er geen specifieke workarounds voor deze kwetsbaarheden zijn te implementeren, bestaan er wel een aantal best practices die uitbuiting van dit soort kwetsbaarheden bemoeilijken en die mogelijk al door de organisatie zijn geïmplementeerd:
Meer informatie
VragenVoor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl. ===== ENGLISH ===== DescriptionDuring the latest Patch Tuesday, Microsoft released updates to resolve vulnerabilities in both Microsoft Exchange (CVE-2024-21410) and Microsoft Outlook (CVE-2024-21413). By combining these two vulnerabilities, an attacker is able to conduct a successful NTLM relaying attack, thereby accessing a vulnerable Exchange server of the organization using the authentication information of the victim. Microsoft has now indicated that the vulnerability in Microsoft Exchange is already actively exploited by threat actors. Although Microsoft does not indicate that the Outlook vulnerability is actively exploited as well, exploitation seems quite trivial and details have been provided by CheckPoint. In an exploitation scenario, a victim will open an e-mail and will then open a malicious link inside this e-mail. After opening the link, the attacker will see an authentication attempt originating from the user, which he will then automatically relay to the vulnerable Exchange server to login to this server using the victim’s authentication information. Vulnerable versionsThe following versions of Microsoft Exchange are vulnerable for CVE-2024-21410 if Extended Protection for Authentication is not yet enabled:
The following versions of Microsoft Outlook are vulnerable for CVE-2024-21413:
Solutions and workaroundsMicrosoft released updates for Microsoft Exchange and Microsoft Outlook to resolve these vulnerabilities. The updates for Microsoft Exchange will result in the activation of Extended Protection for Authentication (EPA) on these servers. This functionality was already introduced in August 2022, but was not activated by default. By installing the latest updates, EPA is activated by default. If an organization already activated EPA before, these Exchange servers are not vulnerable to the NTLM relaying attack. Although there are no specific workarounds for this vulnerability, there are several best practices that make exploitation of this vulnerability more difficult and that may already have been implemented by the organization:
More information
QuestionsFor questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl. |