13 nov 2024

Actualización de Exchange agrega advertencia para emails con suplantación de identidad

Microsoft ha revelado una vulnerabilidad de gravedad alta en Exchange Server que permite a los atacantes falsificar remitentes legítimos en los correos electrónicos entrantes y hacer que los mensajes maliciosos sean mucho más efectivos.

La falla de seguridad (CVE-2024-49040) afecta a Exchange Server 2016 y 2019 y fue descubierta por el investigador de seguridad de Solidlab, Vsevolod Kokorin, quien lo informó a Microsoft a principios de este año.

"El problema es que los servidores SMTP analizan la dirección del destinatario de manera diferente, lo que lleva a la suplantación de correo electrónico", dijo Kokorin en un informe de mayo. "Otro problema que descubrí es que algunos proveedores de correo electrónico permiten el uso de los símbolos < y > en los nombres de grupos, lo que no cumple con los estándares RFC. Durante mi investigación, no encontré ni un solo proveedor de correo que analice correctamente el campo 'De' según los estándares RFC", añadió.

Microsoft también advirtió hoy que la falla podría usarse para falsificar ataques dirigidos a servidores Exchange y ayer martes lanzó varias actualizaciones para agregar avisos de advertencia y detección de explotación.

"La vulnerabilidad es causada por la implementación actual de la verificación del encabezado P2 FROM, que ocurre en el transporte", explicó Microsoft. "La implementación actual permite que pasen algunos encabezados FROM P2 que no cumplen con RFC 5322, lo que puede hacer que el cliente de correo electrónico (por ejemplo, Microsoft Outlook) muestre un remitente falsificado como si fuera legítimo".

Si bien Microsoft no ha parcheado la vulnerabilidad y aceptará correos electrónicos con estos encabezados con formato incorrecto, la compañía dice que los servidores Exchange ahora detectarán y prepararán una advertencia para correos electrónicos maliciosos después de instalar la Actualización de seguridad (SU) de noviembre de 2024 de Exchange Server.

La detección de explotación CVE-2024-49040 y las advertencias por correo electrónico se habilitarán de forma predeterminada en todos los sistemas donde los administradores habiliten la configuración segura de forma predeterminada.

Los servidores Exchange actualizados también agregarán una advertencia al cuerpo de cualquier correo electrónico que detecten con un remitente falso y un encabezado X-MS-Exchange-P2FromRegexMatch para permitir a los administradores rechazar correos electrónicos de phishing que intenten explotar esta falla usando correo con reglas personalizadas.

Si bien no se recomienda, la compañía proporciona el siguiente comando de PowerShell para aquellos que aún desean deshabilitar esta nueva característica de seguridad (ejecútela desde un Shell de administración de Exchange elevado):

New-SettingOverride -Name "DisableNonCompliantP2FromProtection" -Component "Transport" 
-Section "NonCompliantSenderSettings" -Parameters @("AddDisclaimerforRegexMatch=false") 
-Reason "Disabled For Troubleshooting"

Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService 
-Component VariantConfiguration -Argument Refresh

"Aunque es posible deshabilitar la función usando New-SettingOverride, le recomendamos encarecidamente que la deje habilitada, ya que deshabilitarla facilita que los malos actores ejecuten ataques de phishing contra su organización", advirtió Redmond.

Fuente: BC

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!