این نقص امنیتی به هکرها امکان میدهد که ایمیلهای ورودی را طوری جعل کنند که به نظر برسد از سوی فرستندههای قابل اعتماد ارسال شدهاند، و این موضوع میتواند باعث شود که پیامهای مخربشان برای گیرندگان قانعکنندهتر و فریبندهتر شود.
نقص امنیتی (با شناسه CVE-2024-49040) بر سرورهای Exchange 2016 و ۲۰۱۹ تأثیر میگذارد و توسط یک پژوهشگر امنیتی از شرکت Solidlab به نام Vsevolod Kokorin کشف شد، که این نقص را اوایل امسال به مایکروسافت گزارش داد.
مشکل این است که سرورهای SMTP آدرس گیرنده را بهصورت متفاوتی پردازش میکنند، که این امر منجر به جعل ایمیل میشود Kokorin در گزارشی که در ماه می ارائه داد، این موضوع را بیان کرده است.
این پژوهشگر بیان میکند که برخی سرویسهای ایمیل برخلاف استانداردهای RFC، اجازه میدهند که در نامهای گروه ایمیل از این نمادها استفاده شود. این کار میتواند مشکلات یا حتی آسیبپذیریهای امنیتی ایجاد کند، زیرا استانداردهای RFC قوانینی را برای امنیت و سازگاری ایمیلها تعیین میکنند.
این پژوهشگر اشاره میکند که هیچکدام از سرویسهای ایمیلی که بررسی کرده، فیلد ‘From’ (فرستنده) را مطابق با قوانین و استانداردهای RFC تفسیر نمیکنند. این موضوع میتواند موجب شود که مشکلات امنیتی یا خطاهایی در تشخیص صحیح فرستنده ایمیل به وجود بیاید.
مایکروسافت امروز هشدار داد که این نقص میتواند در حملات Spoofing علیه سرورهای Exchange مورد استفاده قرار گیرد و در بهروزرسانیهای این ماه که در سهشنبهی اصلاحیه (Patch Tuesday) منتشر شد، قابلیتهای جدیدی برای شناسایی سوءاستفاده و نمایش بنرهای هشدار اضافه کرده است.
مایکروسافت توضیح داد که مشکل امنیتی ناشی از روشی است که در آن فیلد “FROM” (فرستنده) در لایهی انتقال ایمیل بررسی و تأیید میشود. این روش اعتبارسنجی فعلی، باعث ایجاد آسیبپذیری شده که مهاجمان میتوانند از آن سوءاستفاده کنند.
پیادهسازی فعلی اجازه میدهد برخی هدرهای P2 FROM که با استاندارد RFC 5322 سازگار نیستند، عبور کنند که میتواند باعث شود کلاینت ایمیل (مثلاً مایکروسافت اوتلوک) یک فرستنده جعلی را بهگونهای نمایش دهد که گویی معتبر است.
سرورهای Exchange اکنون دربارهی سوءاستفاده هشدار میدهند.
در حالی که مایکروسافت هنوز این آسیبپذیری را برطرف نکرده و ایمیلهایی با این هدرهای نادرست را قبول میکند، شرکت اعلام کرده است که سرورهای اکسچنج پس از نصب بهروزرسانی امنیتی نوامبر ۲۰۲۴، اکنون میتوانند این ایمیلهای مخرب را شناسایی کرده و یک هشدار به آنها اضافه کنند.
در سیستمهایی که مدیران تنظیمات امنیتی پیشفرض را فعال کنند، قابلیت تشخیص تلاش برای سوءاستفاده از آسیبپذیری CVE-2024-49040 و نمایش هشدارهای ایمیلی بهطور خودکار فعال میشود.
سرورهای Exchange بهروز، هنگامی که ایمیلی با فرستنده جعلی شناسایی میشود، یک هشدار به محتوای آن اضافه میکنند. این به مدیران این امکان را میدهد که از طریق قوانین سفارشی جریان ایمیل، ایمیلهای فیشینگ را که از این آسیبپذیری برای حمله استفاده میکنند، مسدود کنند.
هشدار موجود در ایمیل به گیرنده اعلام میکند که ایمیل مشکوک است و باید قبل از اقدام به لینکها یا پیوستهای آن، منبع ایمیل بهطور کامل بررسی شود.
اگرچه توصیه نمیشود، شرکت فرمان PowerShell زیر را برای کسانی که هنوز میخواهند این ویژگی امنیتی جدید را غیرفعال کنند، فراهم کرده است (این فرمان را باید از یک شل مدیریت Exchange با دسترسی مدیریتی اجرا کرد):
New-SettingOverride -Name “DisableNonCompliantP2FromProtection” -Component “Transport” -Section “NonCompliantSenderSettings” -Parameters @(“AddDisclaimerforRegexMatch=false”) -Reason “Disabled For Troubleshooting”
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
ردموند هشدار داد : اگرچه امکان غیرفعال کردن این ویژگی با استفاده از دستور New-SettingOverride وجود دارد، ما به شدت توصیه میکنیم که این ویژگی را فعال نگه دارید، زیرا غیرفعال کردن آن باعث میشود تا برای مهاجمان بدفطرت راحتتر باشد که حملات فیشینگ را علیه سازمان شما انجام دهند.
