Microsoft hat am Mittwoch eingestanden, dass eine neu entdeckte kritische Sicherheitslücke in Exchange Server aktiv ausgenutzt wird. Einen Tag zuvor hatte das Unternehmen Patches für die verwundbare Stelle im Rahmen seiner Patch Tuesday-Updates veröffentlicht. Die Schwachstelle mit der Bezeichnung CVE-2024-21410 (CVSS-Bewertung: 9,8) wurde als ein Fall von Privileg-Eskalation beschrieben, der Exchange Server betrifft. Ein Angreifer könnte demnach eine NTLM-Client wie Outlook mit einer Schwachstelle angreifen, die NTLM-Zugangsdaten preisgibt. Die dabei geleakten Zugangsdaten könnten gegen den Exchange Server verwendet werden, um Privilegien im Namen des Opfers zu erlangen und Operationen auf dem Exchange Server durchzuführen. Der erfolgreiche Missbrauch der Schwachstelle könnte es einem Angreifer ermöglichen, den geleakten Net-NTLMv2-Hash eines Benutzers gegen einen anfälligen Exchange Server weiterzuleiten und sich als Benutzer zu authentifizieren. Microsoft hat angegeben, dass die Ausnutzung der Schwachstelle erkannt wurde und nun der erweiterte Schutz für die Authentifizierung standardmäßig in Exchange Server 2019 CU14 aktiviert ist. Es sind derzeit keine Details über die Art der Ausnutzung und die Identität der Bedrohungsakteure bekannt, die möglicherweise von der Schwachstelle Gebrauch machen. Der Artikel erwähnt jedoch, dass russische Hackergruppen wie APT28 (auch als Forest Blizzard bekannt) in der Vergangenheit Microsoft Outlook-Schwachstellen genutzt haben, um NTLM-Relay-Angriffe durchzuführen. Microsoft hat auch zwei weitere Windows-Schwachstellen gepatcht und meldet, dass diese in realen Angriffen ausgenutzt wurden. Es handelt sich um die Schwachstellen CVE-2024-21351 und CVE-2024-21412. Die Ausnutzung von CVE-2024-21412, ein Fehler, der einen Bypass der Windows SmartScreen-Schutzmaßnahmen ermöglicht, wurde einer Bedrohungsakteurgruppe namens Water Hydra (auch bekannt als DarkCasino) zugeschrieben. Die Ausnutzung der Schwachstellen hat es der Gruppe ermöglicht, den DarkMe-Trojaner zu verbreiten. Schließlich adressiert das Patch Tuesday-Update auch die Schwachstelle CVE-2024-21413, die die Outlook-E-Mail-Software betrifft und zu einer Remote Code Execution führen kann. Der Fehler erlaubt es, Sicherheitsmaßnahmen wie den Protected View leicht zu umgehen.