マイクロソフトは、攻撃者が受信メールに正当な送信者を偽造し、悪意のあるメッセージをより効果的に作成できる、Exchange Serverの重大性の高い脆弱性を公表した。
このセキュリティ上の欠陥(CVE-2024-49040)はExchange Server 2016および2019に影響を与えるもので、Solidlabのセキュリティ研究者Vsevolod Kokorin氏によって発見され、今年初めにMicrosoftに報告された。
「この問題は、SMTPサーバーが受信者アドレスを異なる方法で解析することで、電子メールのなりすましにつながる」とKokorin氏は5月のレポートで述べている。
“私が発見したもう一つの問題は、いくつかの電子メール・プロバイダーがグループ名に<と>という記号の使用を許可していることで、これはRFC標準に準拠していない”。
「私の調査では、RFC標準に従って’From’フィールドを正しく解析しているメールプロバイダーは1つもありませんでした」と彼は付け加えた。
マイクロソフト社も本日、この欠陥がExchangeサーバーを標的にしたなりすまし攻撃に使用される可能性があることを警告し、今月のパッチ・チューズデー中に複数のアップデートをリリースし、悪用の検出と警告バナーを追加した。
「この脆弱性は、トランスポートで発生するP2 FROM
ヘッダー検証の現在の実装に起因する」とMicrosoftは説明している。
「現在の実装では、RFC5322に準拠していないP2 FROMヘッダを通過させることができるため、電子メールクライアント(Microsoft Outlookなど)が偽造された送信者を正規のものであるかのように表示する可能性がある。
Exchangeサーバーが悪用を警告
マイクロソフトはこの脆弱性にパッチを適用しておらず、このような不正なヘッダーを持つ電子メールを受け付けているが、同社によると、Exchange Server November 2024 Security Update (SU)をインストールした後、Exchangeサーバーは悪意のある電子メールを検出し、警告を前置するようになったという。
CVE-2024-49040の悪用の検出と電子メールによる警告は、管理者がデフォルトでセキュアな設定を有効にしているすべてのシステムでデフォルトで有効になる。
また、最新のExchangeサーバーでは、偽造された送信者とX-MS-Exchange-P2FromRegexMatch
ヘッダーを検出したメールの本文に警告が追加され、管理者がカスタムのメールフロールールを使用してこの欠陥を悪用しようとするフィッシングメールを拒否できるようになります。
通知このメールは疑わしいものです。信頼できる方法で送信元を確認せずに、この電子メールに記載されている情報、リンク、添付ファイルを信用しないでください」と警告されている。
推奨はされないが、それでもこの新しいセキュリティ機能を無効にしたい人のために、同社は以下のPowerShellコマンドを提供している(昇格したExchange Management Shellから実行する):
New-SettingOverride -Name "DisableNonCompliantP2FromProtection" -Component "Transport" -Section "NonCompliantSenderSettings" -Parameters @("AddDisclaimerforRegexMatch=false") -Reason "Disabled For Troubleshooting" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
「New-SettingOverrideを使用してこの機能を無効にすることは可能だが、この機能を無効にすると、悪質な行為者が組織に対してフィッシング攻撃を実行しやすくなるため、この機能を有効にしておくことを強く推奨する」とRedmondは警告している。
Comments