CVE-2024-21410

Microsoft Exchange Server

ВЕРОЯТНОСТЬ 6.3%
Дата обнаружения

2024-02-15

Официальное описание

Microsoft Exchange Server contains an unspecified vulnerability that allows for privilege escalation.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-21410 — это критическая уязвимость в Microsoft Exchange Server, позволяющая злоумышленнику осуществить повышение привилегий через атаку типа NTLM Relay. Уязвимость нацелена на компоненты, использующие проверку подлинности NTLM, и позволяет атакующему перехватить хеш пароля клиента (например, Outlook) и ретранслировать его на сервер Exchange.

В случае успеха атакующий получает права целевого пользователя, что в контексте Exchange часто позволяет скомпрометировать почтовые ящики, изменить разрешения или получить доступ к конфиденциальной информации организации. Основная проблема заключается в отсутствии принудительной защиты Extended Protection for Authentication (EPA) по умолчанию в старых сборках.

Как исправить

Основным способом устранения уязвимости является установка накопительных обновлений (Cumulative Update, CU) и активация функции Extended Protection (EP) на всех серверах Exchange.

  1. Установите актуальные обновления безопасности (февраль 2024 г. или новее). Для Exchange Server 2019 функция Extended Protection включается автоматически при установке CU14.

  2. Если вы используете Exchange Server 2016 или 2019 (версии ниже CU14), необходимо включить Extended Protection вручную с помощью официального скрипта от Microsoft.

  3. Скачайте скрипт ExchangeExtendedProtectionManagement.ps1 с официального репозитория GitHub Microsoft.

  4. Выполните команду для активации защиты на всех виртуальных директориях:

.\ExchangeExtendedProtectionManagement.ps1
  1. Для проверки статуса активации защиты выполните:
.\ExchangeExtendedProtectionManagement.ps1 -Test

Временные меры

Если немедленная установка обновлений или запуск скрипта невозможны, рекомендуется принять следующие меры для снижения риска:

  1. Ограничение NTLM: Настройте политики безопасности для ограничения использования NTLM в вашей сети в пользу Kerberos.

  2. Использование SMB Signing: Включите обязательную подпись SMB (SMB Signing) на всех серверах и рабочих станциях, чтобы предотвратить ретрансляцию NTLM на уровне SMB.

  3. Блокировка входящего трафика RPC/HTTP: Настройте межсетевые экраны для ограничения доступа к портам, использующим NTLM, из недоверенных сегментов сети.

  4. Настройка IIS: Вручную включите "Extended Protection" в настройках аутентификации для виртуальных директорий Exchange в диспетчере IIS (требует осторожности, так как может нарушить работу некоторых клиентов).

Set-ExchangeServer -Identity <ServerName> -ExtendedProtectionTokenChecking Required
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей