Microsoft вводит расширенную защиту для борьбы с атаками на Exchange Server

В свежем обновлении системы безопасности Microsoft предупредила о критической уязвимости в Exchange Server, которая была эксплуатирована как 0day до того, как была исправлена во вторник исправлений в феврале.

CVE-2024-21410 (оценка CVSS: 9.8) позволяет удалённому неаутентифицированному злоумышленнику повышать свои привилегии в атаках NTLM Relay на уязвимые версии Microsoft Exchange Server. В таких атаках атакующий заставляет сетевое устройство (включая серверы или контроллеры домена) аутентифицироваться на сервере NTLM Relay, находящемся под его контролем, чтобы выдат себя за целевые устройства и повышать привилегии.

Как объясняет Microsoft, хакер может нацелиться на NTLM-клиента, Outlook, эксплуатируя уязвимость, приводящей к утечке учетных данных NTLM. Раскрытые учетные данные могут быть затем перенаправлены на сервер Exchange для получения привилегий как клиент-жертва и выполнения операций на сервере Exchange от имени жертвы.

Для защиты от подобных атак Microsoft ввела механизм расширенной защиты для проверки подлинности (Extended Protection for Authentication, EPA), который стал доступен с обновлением Cumulative Update 14 (CU14) для Exchange Server 2019. Опция EPA предназначена для укрепления функционала аутентификации Windows Server путём смягчения атак типа NTLM Relay и MitM-атак (Man-in-the-Middle). Microsoft также объявила, что EPA будет автоматически активирована по умолчанию на всех серверах Exchange после установки обновления CU14.

Администраторы могут использовать скрипт PowerShell ExchangeExtendedProtectionManagement для активации EPA на предыдущих версиях Exchange Server для защиты от атак с использованием CVE-2024-21410.