Microsoft在11月的星期二更新中推出了堵塞CVE-2024-49040安全漏洞的補丁,該漏洞讓攻擊者能創建電郵在收件者看來是完全合法的發送者地址,但在推出2日之後便被暫停了該更新,但Kaspersky察覺到有人正在嘗試利用該安全漏洞,所以在所有電郵保安方案中加入了偵測方法。
CVE-2024-49040安全漏洞的問題
CVE-2024-49040是CVSS 7.5的安全漏洞,涉及是Exchange Server 2019和Exchange Server 2016,屬於「重要」級別,攻擊者可以利用機制令電郵含有兩個發送者地址,真實的會對受害者隱藏,只顯示看似合法的地址,導致Microsoft Exchange正常檢查發送者的地址,但向收件者顯示完全不同,看似沒有可疑的地址(例如一個和收件者相同公司的內部地址)。Microsoft在11月12日推出補丁加入新功能偵則不符合RFC 5322網網訊息格式標準的P2 FROM標頭,可惜根據Microsoft的網誌文章,部份用戶在Transport規則發生問題,部份更在安裝更新後停止運作,所以決定暫時發佈更新,並在11月27 日再次重新發佈。
防範潛在風險
為防止員工被CVE-2024-49040安全漏洞所誤導,IT管理員應該盡快安裝相關漏洞的補丁,而Kaspersky企業電郵防護的用戶,Kaspersky Security for Microsoft Exchange Server、Kaspersky Security for Linux Mail Server和Kaspersky Secure Mail Gateway也增加了偵測規則,防範嘗試利用安全漏洞不軌行為。
資料來源:Kaspersky Blog
