Microsoft a révélé une vulnérabilité de serveur Exchange de haute gravité qui permet aux attaquants de falsifier des expéditeurs légitimes sur les e-mails entrants et de rendre les messages malveillants beaucoup plus efficaces.
La faille de sécurité (CVE-2024-49040) affecte Exchange Server 2016 et 2019, et a été découverte par le chercheur en sécurité Solid Lab Vsevolod Kokorin, qui l’a signalée à Microsoft plus tôt cette année.
« Le problème est que les serveurs SMTP analysent l’adresse du destinataire différemment, ce qui conduit à l’usurpation d’e-mails », a déclaré Kokorin dans un rapport de mai.
« Un autre problème que j’ai découvert est que certains fournisseurs de messagerie autorisent l’utilisation des symboles < et > dans les noms de groupe, ce qui n’est pas conforme aux normes RFC. »
« Au cours de mes recherches, je n’ai pas trouvé un seul fournisseur de messagerie qui analyse correctement le champ » De « selon les normes RFC », a-t-il ajouté.
Microsoft a également averti aujourd’hui que la faille pourrait être utilisée dans des attaques d’usurpation d’identité ciblant les serveurs Exchange et a publié plusieurs mises à jour au cours du Patch Tuesday de ce mois-ci pour ajouter des bannières de détection d’exploitation et d’avertissements.
« La vulnérabilité est causée par l’implémentation actuelle de la vérification P2 DE l’en-tête, qui se produit dans le transport », a expliqué Microsoft.
« L’implémentation actuelle permet à certains en-têtes P2 non conformes à la RFC 5322 de passer, ce qui peut amener le client de messagerie (par exemple, Microsoft Outlook) à afficher un expéditeur falsifié comme s’il était légitime. »
Les serveurs Exchange avertissent maintenant de l’exploitation
Bien que Microsoft n’ait pas corrigé la vulnérabilité et acceptera les e-mails avec ces en-têtes mal formés, la société indique que les serveurs Exchange détecteront désormais et ajouteront un avertissement aux e-mails malveillants après l’installation de la mise à jour de sécurité Exchange Server de novembre 2024 (SU).
CVE-2024-49040 la détection d’exploitation et les avertissements par e-mail seront activés par défaut sur tous les systèmes sur lesquels les administrateurs activent la sécurité par défaut.
Les serveurs Exchange à jour ajouteront également un avertissement au corps de tous les e-mails qu’ils détectent comme ayant un expéditeur falsifié et un en-tête X-MS-Exchange-P2FromRegexMatch pour permettre aux administrateurs de rejeter les e-mails de phishing tentant d’exploiter cette faille à l’aide de règles de flux de messagerie personnalisées.
« Remarque: Cet e-mail semble suspect. Ne faites pas confiance aux informations, liens ou pièces jointes de cet e-mail sans vérifier la source via une méthode fiable », indique l’avertissement.
Bien que cela ne soit pas conseillé, la société fournit la commande PowerShell suivante pour ceux qui souhaitent toujours désactiver cette nouvelle fonctionnalité de sécurité (exécutez-la à partir d’un Shell de gestion Exchange élevé):
Nouveau-Paramètre Override-Nom « Désactiver La P2 Non Conforme De La Protection « – Composant « Transport » – Section « Paramètres D’Envoi Non Conformes » – Paramètres @(« AddDisclaimerforRegexMatch = false ») – Raison « Désactivée Pour Le Dépannage »
Get-ExchangeDiagnosticInfo-Traiter Microsoft.Échange.Annuaire.Topologieservice – Variante de composantconfiguration-Actualisation des arguments
« Bien qu’il soit possible de désactiver la fonctionnalité à l’aide de New-SettingOverride, nous vous recommandons fortement de laisser la fonctionnalité activée, car la désactivation de la fonctionnalité permet aux mauvais acteurs d’exécuter plus facilement des attaques de phishing contre votre organisation », a averti Redmond.