Microsoft, saldırganların gelen e-postalarda yasal gönderenler oluşturmasına ve kötü amaçlı mesajları çok daha etkili hale getirmesine olanak tanıyan yüksek önem derecesine sahip bir Exchange Server güvenlik açığını açıkladı.
Güvenlik kusuru (CVE-2024-49040) Exchange Server 2016 ve 2019’u etkiliyor ve bu yılın başında bunu Microsoft’a bildiren Solidlab güvenlik araştırmacısı Vsevolod Kokorin tarafından keşfedildi.
Mayıs ayı raporunda Kokorin, “Sorun, SMTP sunucularının alıcı adresini farklı şekilde ayrıştırmasıdır, bu da e-posta sahtekarlığına yol açar” dedi.
“Keşfettiğim bir diğer sorun da bazı e-posta sağlayıcılarının simgelerin kullanımına izin vermesidir < and > RFC standartlarına uymayan grup adlarında.”
“Araştırmam sırasında ‘Kimden’ alanını RFC standartlarına göre doğru şekilde ayrıştıran tek bir posta sağlayıcısına rastlamadım” diye ekledi.
Microsoft ayrıca bugün kusurun Exchange sunucularını hedef alan sahtecilik saldırılarında kullanılabileceği konusunda da uyardı. birkaç güncelleme yayınladı Bu ayın Salı Yaması sırasında istismar tespiti ve uyarı banner’ları eklenecek.
“Güvenlik açığı mevcut uygulamadan kaynaklanıyor P2 FROM
Aktarım sırasında gerçekleşen başlık doğrulaması,” diye açıkladı Microsoft.
“Mevcut uygulama RFC 5322 uyumlu olmayan bazı P2 FROM başlıklarının geçmesine izin veriyor ve bu da e-posta istemcisinin (örneğin, Microsoft Outlook) sahte bir göndereni meşruymuş gibi göstermesine yol açabilir.”
Exchange sunucuları artık istismara karşı uyarıyor
Microsoft, güvenlik açığını düzeltmemiş ve hatalı biçimlendirilmiş başlıklara sahip e-postaları kabul edecek olsa da şirket, Exchange sunucularının artık Exchange Server Kasım 2024 Güvenlik Güncelleştirmesi’ni (SU) yükledikten sonra kötü amaçlı e-postaları algılayıp bunlara bir uyarı ekleyeceğini söylüyor.
CVE-2024-49040 kötüye kullanım tespiti ve e-posta uyarıları, yöneticilerin varsayılan ayarlarla güvenliği etkinleştirdiği tüm sistemlerde varsayılan olarak etkinleştirilecektir.
Güncel Exchange sunucuları, sahte göndereni olduğunu tespit ettiği e-postaların gövdesine de bir uyarı ekleyecektir. X-MS-Exchange-P2FromRegexMatch
yöneticilerin, özel posta akışı kurallarını kullanarak bu kusurdan yararlanmaya çalışan kimlik avı e-postalarını reddetmesine olanak tanıyan başlık.
Uyarıda “Uyarı: Bu e-posta şüpheli görünüyor. Kaynağı güvenilir bir yöntemle doğrulamadan bu e-postadaki bilgilere, bağlantılara veya eklere güvenmeyin” yazıyor.
Tavsiye edilmese de şirket, bu yeni güvenlik özelliğini hala devre dışı bırakmak isteyenler için aşağıdaki PowerShell komutunu sağlıyor (bunu yükseltilmiş bir Exchange Yönetim Kabuğundan çalıştırın):
New-SettingOverride -Name "DisableNonCompliantP2FromProtection" -Component "Transport" -Section "NonCompliantSenderSettings" -Parameters @("AddDisclaimerforRegexMatch=false") -Reason "Disabled For Troubleshooting"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Redmond, “New-SettingOverride’ı kullanarak bu özelliği devre dışı bırakmak mümkün olsa da, özelliğin devre dışı bırakılması, kötü aktörlerin kuruluşunuza karşı kimlik avı saldırıları gerçekleştirmesini kolaylaştıracağından, özelliği etkin bırakmanızı şiddetle tavsiye ederiz” diye uyardı.