A Microsoft revelou uma vulnerabilidade de alta severidade no Exchange Server que permite aos atacantes forjar remetentes legítimos em emails recebidos, tornando mensagens maliciosas muito mais eficazes.
A falha de segurança (
CVE-2024-49040
) afeta o Exchange Server 2016 e 2019 e foi descoberta pelo pesquisador de segurança da Solidlab, Vsevolod Kokorin, que a reportou à Microsoft no início deste ano.
"O problema é que os servidores SMTP interpretam o endereço do destinatário de forma diferente, o que leva ao spoofing de e-mail," disse Kokorin em um relatório de maio.
Outro problema que descobri é que alguns provedores de email permitem o uso dos símbolos < e > em nomes de grupos, o que não está de acordo com os padrões RFC.
"Durante minha pesquisa, não encontrei um único provedor de email que analisa corretamente o campo 'De' de acordo com os padrões RFC," ele adicionou.
A Microsoft também alertou hoje que a falha poderia ser usada em ataques de spoofing visando servidores Exchange e lançou várias atualizações durante o Patch Tuesday deste mês para adicionar detecção de exploração e banners de advertência.
"A vulnerabilidade é causada pela atual implementação da verificação do cabeçalho P2 FROM, que ocorre no transporte," explicou a Microsoft.
A implementação atual permite que alguns cabeçalhos P2 FROM não compatíveis com o RFC 5322 passem, o que pode levar o cliente de email (por exemplo, Microsoft Outlook) a exibir um remetente forjado como se fosse legítimo.
Embora a Microsoft não tenha corrigido a vulnerabilidade e aceitará e-mails com esses cabeçalhos malformados, a empresa diz que os servidores Exchange agora detectarão e acrescentarão um aviso aos e-mails maliciosos após a instalação da Atualização de Segurança de Novembro de 2024 do Exchange Server (SU).
A detecção de exploração do
CVE-2024-49040
e os avisos por email serão ativados por padrão em todos os sistemas onde os administradores habilitarem as configurações de segurança por padrão.
Servidores Exchange atualizados também adicionarão um aviso no corpo de quaisquer e-mails que detectar como tendo um remetente forjado e um cabeçalho X-MS-Exchange-P2FromRegexMatch para permitir que os administradores rejeitem e-mails de phishing que tentem explorar essa falha usando regras de fluxo de correio personalizadas.
Aviso: Este email parece ser suspeito.
Não confie nas informações, links ou anexos deste e-mail sem verificar a fonte por meio de um método confiável," lê-se no aviso.
Embora não seja aconselhado, a empresa fornece o seguinte comando PowerShell para aqueles que ainda querem desabilitar essa nova funcionalidade de segurança (execute-o a partir de um Exchange Management Shell elevado):
"Embora seja possível desabilitar a funcionalidade usando New-SettingOverride, recomendamos fortemente que você mantenha a funcionalidade ativada, pois desabilitá-la facilita para os atores maliciosos realizarem ataques de phishing contra sua organização," alertou Redmond.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...