Am 14. Februar 2024 aktualisierte Microsoft sein Advisory zu einer Schwachstelle in Microsoft Exchange Server (CVE-2024-21410), die der Hersteller im Rahmen des Februar Patchdays geschlossen hatte. Ergänzt wurde der Hinweis, dass die Sicherheitslücke bereits aktiv ausgenutzt wird. Die Schwachstelle ermöglicht es externen Angreifenden im Zusammenhang mit potenziellen weiteren Verwundbarkeiten in NTLM-Clients (wie Outlook), sich mit entwendeten Net-NTLMv2-Hashwerten bei einem verwundbaren Exchange Server zu authentifizieren und Aktionen mit den Berechtigungen des ursprünglichen Opfers durchzuführen. Die Bewertung nach dem Common Vulnerability Scoring System (CVSS) in Version 3.1 ist mit einem Wert von 9.8 daher "kritisch".

Diese sogenannten NTLM-Relay-Angriffe können durch die Schutzfunktion Extended Protection (EP), auch Extended Protection for Authentication (EPA) genannt, unterbunden werden, die das Update Exchange Server 2019 CU14 standardmäßig aktiviert.

Betroffen sind Versionen von Microsoft Exchange Server vor Cumulative Update 14 für Exchange Server 2019, ohne aktiviertes Extended-Protection-Feature.