Η Microsoft έχει αποκαλύψει μια ευπάθεια του Exchange Server υψηλής σοβαρότητας που επιτρέπει στους εισβολείς να πλαστογραφούν νόμιμους αποστολείς στα εισερχόμενα email και να κάνουν τα κακόβουλα μηνύματα πολύ πιο αποτελεσματικά.
Το ελάττωμα ασφαλείας (CVE-2024-49040) επηρεάζει τον Exchange Server 2016 και 2019 και ήταν ανακαλυφθείς από τον ερευνητή ασφαλείας της Solidlab, Vsevolod Kokorin, ο οποίος το ανέφερε στη Microsoft νωρίτερα αυτό το έτος.
“Το πρόβλημα είναι ότι οι διακομιστές SMTP αναλύουν τη διεύθυνση του παραλήπτη με διαφορετικό τρόπο, γεγονός που οδηγεί σε πλαστογράφηση email.” είπε ο Κοκόριν σε έκθεση του Μαΐου.
“Ένα άλλο ζήτημα που ανακάλυψα είναι ότι ορισμένοι πάροχοι email επιτρέπουν τη χρήση των συμβόλων σε ονόματα ομάδων, κάτι που δεν συμμορφώνεται με τα πρότυπα RFC.”
«Κατά τη διάρκεια της έρευνάς μου, δεν βρήκα ούτε έναν πάροχο αλληλογραφίας που να αναλύει σωστά το πεδίο «Από» σύμφωνα με τα πρότυπα RFC», πρόσθεσε.
Η Microsoft προειδοποίησε επίσης σήμερα ότι το ελάττωμα θα μπορούσε να χρησιμοποιηθεί σε επιθέσεις πλαστογράφησης που στοχεύουν διακομιστές Exchange και απελευθερώθηκε αρκετές ενημερώσεις κατά τη διάρκεια του Patch Tuesday αυτού του μήνα για να προσθέσετε banner εντοπισμού εκμετάλλευσης και προειδοποιήσεων.
«Η ευπάθεια προκαλείται από την τρέχουσα εφαρμογή του P2 FROM επαλήθευση κεφαλίδας, η οποία συμβαίνει στη μεταφορά”, η Microsoft εξήγησε.
«Η τρέχουσα εφαρμογή επιτρέπει ορισμένες μηRFC 5322 συμβατές κεφαλίδες P2 FROM που μπορεί να οδηγήσουν στο πρόγραμμα-πελάτη email (για παράδειγμα, το Microsoft Outlook) να εμφανίζει έναν πλαστό αποστολέα σαν να ήταν νόμιμος.”
Οι διακομιστές Exchange προειδοποιούν τώρα για εκμετάλλευση
Αν και η Microsoft δεν έχει επιδιορθώσει το θέμα ευπάθειας και θα δέχεται μηνύματα ηλεκτρονικού ταχυδρομείου με αυτές τις λανθασμένης μορφής κεφαλίδες, η εταιρεία λέει ότι οι διακομιστές Exchange θα εντοπίζουν και θα προειδοποιούν για κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου μετά την εγκατάσταση του Ενημέρωση ασφαλείας του Exchange Server Νοεμβρίου 2024 (SU).
Ο εντοπισμός εκμετάλλευσης CVE-2024-49040 και οι προειδοποιήσεις ηλεκτρονικού ταχυδρομείου θα είναι ενεργοποιημένες από προεπιλογή σε όλα τα συστήματα όπου οι διαχειριστές ενεργοποιούν τις ασφαλείς από προεπιλεγμένες ρυθμίσεις.
Οι ενημερωμένοι διακομιστές Exchange θα προσθέσουν επίσης μια προειδοποίηση στο σώμα για τυχόν μηνύματα ηλεκτρονικού ταχυδρομείου που εντοπίζει ότι έχουν πλαστό αποστολέα και X-MS-Exchange-P2FromRegexMatch κεφαλίδα για να επιτρέπεται στους διαχειριστές να απορρίπτουν μηνύματα ηλεκτρονικού ψαρέματος που προσπαθούν να εκμεταλλευτούν αυτό το ελάττωμα χρησιμοποιώντας προσαρμοσμένους κανόνες ροής αλληλογραφίας.
“Ειδοποίηση: Αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου φαίνεται να είναι ύποπτο. Μην εμπιστεύεστε τις πληροφορίες, τους συνδέσμους ή τα συνημμένα σε αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου χωρίς να επαληθεύσετε την πηγή μέσω μιας αξιόπιστης μεθόδου”, αναφέρει η προειδοποίηση.
Αν και δεν συνιστάται, η εταιρεία παρέχει την ακόλουθη εντολή PowerShell για όσους εξακολουθούν να θέλουν να απενεργοποιήσουν αυτήν τη νέα δυνατότητα ασφαλείας (να την εκτελούν από ένα αυξημένο κέλυφος διαχείρισης Exchange):
New-SettingOverride -Name "DisableNonCompliantP2FromProtection" -Component "Transport" -Section "NonCompliantSenderSettings" -Parameters @("AddDisclaimerforRegexMatch=false") -Reason "Disabled For Troubleshooting"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
“Αν και είναι δυνατό να απενεργοποιήσετε τη λειτουργία χρησιμοποιώντας New-SettingOverrideσυνιστούμε ανεπιφύλακτα να αφήσετε τη δυνατότητα ενεργοποιημένη, καθώς η απενεργοποίηση της δυνατότητας διευκολύνει τους κακούς παράγοντες να εκτελούν επιθέσεις phishing εναντίον του οργανισμού σας”, προειδοποίησε ο Redmond.
VIA: bleepingcomputer.com
