Bl0ckch41nnewsActualización de Exchange agrega advertencia para emails con suplantación de identidad
[ad_1]
Microsoft ha revelado una vulnerabilidad de gravedad alta en Exchange Server
que permite a los atacantes falsificar remitentes legítimos en los correos
electrónicos entrantes y hacer que los mensajes maliciosos sean mucho más
efectivos.
La falla de seguridad (CVE-2024-49040) afecta a Exchange Server 2016 y 2019 y fue descubierta por el investigador
de seguridad de Solidlab, Vsevolod Kokorin, quien lo informó a Microsoft a
principios de este año.
«El problema es que los servidores SMTP analizan la dirección del
destinatario de manera diferente, lo que lleva a la suplantación de correo
electrónico»,
dijo Kokorin en un informe de mayo.
«Otro problema que descubrí es que algunos proveedores de correo
electrónico permiten el uso de los símbolos < y > en los nombres de
grupos, lo que no cumple con los estándares RFC. Durante mi
investigación, no encontré ni un solo proveedor de correo que analice
correctamente el campo ‘De’ según los estándares RFC», añadió.
Microsoft también advirtió hoy que la falla podría usarse para falsificar
ataques dirigidos a servidores Exchange y
ayer martes lanzó varias actualizaciones
para agregar avisos de advertencia y detección de explotación.
«La vulnerabilidad es causada por la implementación actual de la
verificación del encabezado P2 FROM, que ocurre en el transporte»,
explicó Microsoft.
«La implementación actual permite que pasen algunos encabezados FROM P2 que
no cumplen con
RFC 5322, lo que puede hacer que el cliente de correo electrónico (por ejemplo,
Microsoft Outlook) muestre un remitente falsificado como si fuera
legítimo».
Si bien Microsoft no ha parcheado la vulnerabilidad y aceptará correos
electrónicos con estos encabezados con formato incorrecto, la compañía dice
que los servidores Exchange ahora detectarán y prepararán una advertencia para
correos electrónicos maliciosos después de instalar la
Actualización de seguridad (SU) de noviembre de 2024 de Exchange Server.
La detección de explotación CVE-2024-49040 y las advertencias por correo
electrónico se habilitarán de forma predeterminada en todos los sistemas donde
los administradores habiliten la configuración segura de forma predeterminada.
Los servidores Exchange actualizados también agregarán una advertencia al
cuerpo de cualquier correo electrónico que detecten con un remitente falso y
un encabezado X-MS-Exchange-P2FromRegexMatch para permitir a los
administradores rechazar correos electrónicos de phishing que intenten
explotar esta falla usando correo con
reglas personalizadas.
Si bien no se recomienda, la compañía proporciona el siguiente comando de
PowerShell para aquellos que aún desean deshabilitar esta nueva característica
de seguridad (ejecútela desde un Shell de administración de Exchange elevado):
New-SettingOverride -Name "DisableNonCompliantP2FromProtection" -Component "Transport"
-Section "NonCompliantSenderSettings" -Parameters @("AddDisclaimerforRegexMatch=false")
-Reason "Disabled For Troubleshooting"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService
-Component VariantConfiguration -Argument Refresh
«Aunque es posible deshabilitar la función usando
New-SettingOverride, le recomendamos encarecidamente que la deje habilitada, ya que
deshabilitarla facilita que los malos actores ejecuten ataques de phishing
contra su organización»,
advirtió Redmond.
Fuente:
BC
[ad_2]
Source link
Los comentarios están cerrados.