Microsoft, Exchange Server’lardaki kritik güvenlik açığının kullanıldığını belirtiyor. CVE-2024-21410 olarak izlenen bu güvenlik açığı NTLM saldırılarında kullanılıyor ve bu yayınlanan güncellemeler ile kapatılmış durumda.
Saldırganlar, kendilerinin kontrol ettikleri NTLM sunucusuna, sunucuları veya etki alanı denetleyicileri de dahil olmak üzere kimlik doğrulamaya zorluyor. Ardından hedef cihazları taklit ederek yetkilerini yükseltiyor. Saldirgan bu türde bir açıktan etkilenebilecek NTLM istemcilerini (Outlook gibi) hedef alıyor.
Exchange Extended Protection ile koruma
Exchange Server 2019 14 (CU14) güncellemesi Exchange Extended Protection’ı etkinleştirerek bu güvenlik açığına karşı NTLM kimlik bilgilerini koruma altına aldı.
Microsoft, Extended Protection’ı 2024 H1 güncellemesi (CU14) yüklendikten sonra otomatik olarak tüm Exchange sunucularında varsayılan olarak etkinleştirileceğini duyurdu.
Exchange Server 2016 gibi önceki Exchange Server sürümlerinde EP’yi etkinleştirmek için ExchangeExtendedProtectionManagement PowerShell script’i kullanabilir. Ancak Exchange sunucularında EP’yi açmadan önce ortamların değerlendirmesi ve EP geçiş için Microsoft’un belgelerinde belirtilen sorunların gözden geçirmesi gerekiyor.