Update

Het Cybersecurity Dreigingsbeeld en advies rapport is uit! Download hem hier.

Lees verder

Pinewood Security Bulletin – Vulnerabilities in Microsoft Exchange and Microsoft Outlook

For English, see below.

Beschrijving

Microsoft heeft tijdens de laatste maandelijkse patchronde zowel een ernstige kwetsbaarheid in Microsoft Exchange (CVE-2024-21410) als in Microsoft Outlook (CVE-2024-21413) verholpen. Door deze twee kwetsbaarheden te combineren, kunnen aanvallers een succesvolle NTLM-relayaanval uitvoeren waarbij ze verbinding kunnen maken met een Exchange-server van de organisatie met de rechten van een aangevallen slachtoffer.

Microsoft geeft nu aan dat de kwetsbaarheid in Microsoft Exchange al actief misbruikt wordt. Ook het uitbuiten van de kwetsbaarheid in Microsoft Outlook lijkt eenvoudig en details hierover zijn beschreven door CheckPoint. Misbruik bestaat eruit dat een slachtoffer een e-mail opent en vervolgens een malafide link benadert. Na het openen van de link krijgt de aanvaller een authenticatiepoging vanuit de gebruiker in handen die hij vervolgens kan doorzetten (“relayen’) naar een kwetsbare Exchange-server om namens de gebruiker in te loggen.

Kwetsbare versies

De volgende versies van Microsoft Exchange zijn kwetsbaar voor CVE-2024-21410 indien Extended Protection for Authentication (EPA) hierop nog niet is ingeschakeld:

  • Microsoft Exchange Server 2019 Cumulative Update 14 en eerder
  • Microsoft Exchange Server 2016 Cumulative Update 23 en eerder

De volgende versies van Microsoft Outlook zijn kwetsbaar voor CVE-2024-21413:

  • Microsoft 365 Apps for Enterprise for 64-bit Systems
  • Microsoft 365 Apps for Enterprise for 32-bit Systems
  • Microsoft Office 2016 (64-bit edition)
  • Microsoft Office 2016 (32-bit edition)
  • Microsoft Office 2019 for 32-bit editions
  • Microsoft Office 2019 for 64-bit editions
  • Microsoft Office LTSC 2021 for 32-bit editions
  • Microsoft Office LTSC 2021 for 64-bit editions

Oplossingen en tijdelijke mitigaties

Microsoft heeft updates voor Microsoft Exchange en Microsoft Outlook uitgebracht om deze kwetsbaarheden te verhelpen.

De updates voor Microsoft Exchange zorgen ervoor dat Extended Protection for Authentication (EPA) wordt ingeschakeld op alle Exchange servers. Deze functionaliteit is in augustus 2022 al geïntroduceerd met updates voor Exchange, maar werd nog niet standaard geactiveerd. De nieuwste updates voor Exchange zorgen ervoor dat EPA standaard wel wordt geactiveerd. Mocht een organisatie de EPA-functionaliteit al eerder zelf hebben ingeschakeld, dan zijn de Exchange servers niet kwetsbaar.

Hoewel er geen specifieke workarounds voor deze kwetsbaarheden zijn te implementeren, bestaan er wel een aantal best practices die uitbuiting van dit soort kwetsbaarheden bemoeilijken en die mogelijk al door de organisatie zijn geïmplementeerd:

  • Sta alleen essentiële verbindingen toe vanuit de infrastructuur naar het internet. Specifiek voor deze kwetsbaarheid is het van belang dat vanuit het netwerk géén verbindingen over 445/tcp naar (onvertrouwde) externe IP-adressen worden toegestaan. Sta bij gebruik van Azure Files alleen 445/tcp naar externe IP-adressen voor Azure Files toe. Houd er rekening mee dat deze poort mogelijk wél geopend is op het moment dat een gebruiker niet verbonden is met het bedrijfsnetwerk. Dergelijke beperkingen moet men daarom ook afdwingen via de lokale (Windows) firewall.
  • Maak gebruik van maatregelen als SMB signing, LDAP signing, LDAP channel binding en HTTP Extended Protection for Authentication (EPA). Deze maatregelen voorkomen een succesvolle ‘NTLM relay’-aanval, maar voorkomen niet dat de Net-NTLMv2 wachtwoordhash uitlekt.
  • Zorg ervoor dat de WebDAV-client op systemen is uitgeschakeld of van systemen is verwijderd. Dit voorkomt dat de uitgaande verbinding over een andere poort dan 445/tcp uitgevoerd kan worden. De WebDAV-client is alleen geïnstalleerd op werkplekken, niet op servers. De-installeren is mogelijk via de optie “ add/remove programs”  of via een centrale policywijziging. De WebDAV-client staat standaard uitgeschakeld, maar kan door verschillende omstandigheden automatisch ingeschakeld worden.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

During the latest Patch Tuesday, Microsoft released updates to resolve vulnerabilities in both Microsoft Exchange (CVE-2024-21410) and Microsoft Outlook (CVE-2024-21413). By combining these two vulnerabilities, an attacker is able to conduct a successful NTLM relaying attack, thereby accessing a vulnerable Exchange server of the organization using the authentication information of the victim.

Microsoft has now indicated that the vulnerability in Microsoft Exchange is already actively exploited by threat actors. Although Microsoft does not indicate that the Outlook vulnerability is actively exploited as well, exploitation seems quite trivial and details have been provided by CheckPoint. In an exploitation scenario, a victim will open an e-mail and will then open a malicious link inside this e-mail. After opening the link, the attacker will see an authentication attempt originating from the user, which he will then automatically relay to the vulnerable Exchange server to login to this server using the victim’s authentication information.

Vulnerable versions

The following versions of Microsoft Exchange are vulnerable for CVE-2024-21410 if Extended Protection for Authentication is not yet enabled:

  • Microsoft Exchange Server 2019 Cumulative Update 14 and previous versions
  • Microsoft Exchange Server 2016 Cumulative Update 23 and previous versions

The following versions of Microsoft Outlook are vulnerable for CVE-2024-21413:

  • Microsoft 365 Apps for Enterprise for 64-bit Systems
  • Microsoft 365 Apps for Enterprise for 32-bit Systems
  • Microsoft Office 2016 (64-bit edition)
  • Microsoft Office 2016 (32-bit edition)
  • Microsoft Office 2019 for 32-bit editions
  • Microsoft Office 2019 for 64-bit editions
  • Microsoft Office LTSC 2021 for 32-bit editions
  • Microsoft Office LTSC 2021 for 64-bit editions

Solutions and workarounds

Microsoft released updates for Microsoft Exchange and Microsoft Outlook to resolve these vulnerabilities.

The updates for Microsoft Exchange will result in the activation of Extended Protection for Authentication (EPA) on these servers. This functionality was already introduced in August 2022, but was not activated by default. By installing the latest updates, EPA is activated by default. If an organization already activated EPA before, these Exchange servers are not vulnerable to the NTLM relaying attack.

Although there are no specific workarounds for this vulnerability, there are several best practices that make exploitation of this vulnerability more difficult and that may already have been implemented by the organization:

  • Allow only essential connections from the infrastructure to the internet. Specifically for this vulnerability, it is important that no connections over 445/tcp to (untrusted) external IP addresses are allowed from the network. If you’re using Azure Files, make sure that 445/tcp towards external IP addresses is only allowed for Azure Files. Note that this port may be open when a user is not connected to the corporate network. Such restrictions must therefore also be enforced through the local (Windows) firewall.
  • Use measures such as SMB signing, LDAP signing, LDAP channel binding, and HTTP Extended Protection for Authentication (EPA). These measures prevent a successful “NTLM relay” attack, but do not prevent the Net-NTLMv2 password hash from leaking.
  • Ensure that the WebDAV client is disabled or removed from systems. This prevents the outbound connection from being performed on a port other than 445/tcp. The WebDAV client is only installed on workstations, not on servers. You can deinstall the client by using the “ add/remove programs”  option of Windows or by creating a central policy. The WebDAV client is disabled by default, but may be automatically enabled due to various circumstances.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl