Microsoft ha dado a conocer un fallo grave en Exchange Server que podría permitir a los atacantes hacerse pasar por remitentes legítimos en correos electrónicos. Esto hace que los mensajes maliciosos parezcan mucho más confiables y, por lo tanto, peligrosos. La vulnerabilidad, identificada como CVE-2024-49040, afecta a Exchange Server 2016 y 2019. Fue descubierta por Vsevolod Kokorin, un investigador de seguridad, quien la reportó a Microsoft a principios de este año.
"El problema está en cómo los servidores SMTP procesan la dirección del destinatario, lo que abre la puerta a la suplantación de identidad en correos electrónicos", explicó Kokorin en un informe publicado en mayo. "Otro problema que me encontré es que algunos proveedores de correo dejan usar los símbolos < y > en los nombres de los grupos, algo que no cumple con los estándares RFC". "Además, en mi investigación no encontré ni un solo proveedor de correo que interprete correctamente el campo 'De' según lo que marcan los estándares RFC", agregó.
CVE-2024-49040 suplantación de correo electrónico
Microsoft también avisó hoy que esta falla podría ser usada para suplantar la identidad de servidores Exchange. Por eso, en el Patch Tuesday de este mes lanzaron actualizaciones para detectar posibles intentos de explotación y agregar banners de advertencia.
"El problema viene de cómo se implementa la verificación del encabezado P2 FROM durante el transporte", explicó Microsoft.
"Ahora mismo, esa implementación deja pasar algunos encabezados P2 FROM que no cumplen con los estándares de RFC 5322. Esto puede hacer que el cliente de correo (como Microsoft Outlook, por ejemplo) muestre un remitente falso como si fuera real".
Servidores Exchange Advierten sobre Explotación
Aunque Microsoft todavía no ha solucionado esta vulnerabilidad y sigue aceptando correos con encabezados malformados, la compañía asegura que, después de instalar la Actualización de Seguridad (SU) de noviembre de 2024 para Exchange Server, los servidores podrán detectar correos maliciosos y agregarles una advertencia.
La detección de explotación (CVE-2024-49040) y los mensajes de advertencia estarán activados automáticamente en todos los sistemas donde los administradores hayan configurado las opciones de seguridad predeterminadas.
Además, los servidores Exchange que estén actualizados incluirán una advertencia en el cuerpo de cualquier correo que detecten con un remitente falso. También agregarán un encabezado especial (X-MS-Exchange-P2FromRegexMatch) para que los administradores puedan bloquear esos correos de phishing usando reglas personalizadas de flujo de correo.
El mensaje de advertencia dice: "Aviso: este correo electrónico parece sospechoso. No confíe en la información, los enlaces ni los archivos adjuntos de este correo sin verificar antes la fuente por un método confiable".
Aviso legal sobre mensajes sospechosos (Microsoft)
Podría interesarte leer: ¿Qué Pasa si No Actualizas Software?: Evita Vulnerabilidades
Aunque no es lo más recomendable, Microsoft ofrece el siguiente comando de PowerShell para quienes realmente quieran desactivar esta nueva función de seguridad (debes ejecutarlo desde un Shell de administración de Exchange con permisos elevados):
"New-SettingOverride -Name "DisableNonCompliantP2FromProtection" -Component "Transport" -Section "NonCompliantSenderSettings" -Parameters @("AddDisclaimerforRegexMatch=false") -Reason "Disabled For Troubleshooting" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh"
"Si bien se puede deshabilitar esta función usando New-SettingOverride, recomendamos encarecidamente mantenerla activada. Desactivarla podría facilitar que actores maliciosos lleven a cabo ataques de phishing contra tu organización", advirtió Microsoft.