微軟近日公開(kāi)披露了一項(xiàng)針對(duì) Exchange Server 的高危漏洞，該漏洞編號(hào)為 CVE-2024-49040，已被 Solidlab 的安全研究員 Vsevolod Kokorin 發(fā)現(xiàn)并報(bào)告。據(jù)悉，此漏洞可被攻擊者利用，偽造合法發(fā)件人身份，進(jìn)而更有效地分發(fā)攜帶惡意內(nèi)容的電子郵件。

Kokorin 在其提交給微軟的報(bào)告中詳細(xì)說(shuō)明了漏洞成因，主要指向 SMTP 服務(wù)器在處理收件人地址時(shí)的解析差異，這種差異為電子郵件欺詐行為提供了可能。他進(jìn)一步指出，部分電子郵件服務(wù)提供商在組名中允許使用不符合 RFC 標(biāo)準(zhǔn)的符號(hào)，這一做法加劇了安全風(fēng)險(xiǎn)。

微軟對(duì)此發(fā)出警告，稱(chēng)該漏洞可能會(huì)被用于對(duì) Exchange 服務(wù)器進(jìn)行欺騙性攻擊。作為應(yīng)對(duì)措施，微軟在最近的補(bǔ)丁更新中推出了多項(xiàng)安全修復(fù)，并增強(qiáng)了針對(duì)該漏洞的檢測(cè)機(jī)制，一旦檢測(cè)到可疑活動(dòng)，系統(tǒng)將立即發(fā)出警告。

據(jù)微軟解釋?zhuān)撀┒吹母丛谟?P2 FROM 頭部驗(yàn)證的實(shí)現(xiàn)方式存在缺陷，導(dǎo)致某些不符合 RFC 5322 標(biāo)準(zhǔn)的頭部信息能夠通過(guò)驗(yàn)證，進(jìn)而使得如 Outlook 等電子郵件客戶(hù)端錯(cuò)誤地將偽造的發(fā)件人識(shí)別為合法。盡管漏洞尚未被完全修補(bǔ)，微軟表示，在安裝了 2024 年 11 月發(fā)布的 Exchange Server 安全更新后，服務(wù)器將能夠更有效地檢測(cè)出惡意郵件，并在用戶(hù)收件前添加相應(yīng)的警告信息。