如何阻止利用 CVE-2024-49040

修复 Microsoft Exchange 中 CVE-2024-49040 的补丁暂时不可用。我们已经实施了启发式方法来检测利用该漏洞的尝试。

微软在 11 月 12 日的最新补丁星期二上强调的漏洞包括 Exchange 中的 CVE-2024-49040。利用该漏洞，攻击者可以创建在受害者界面上显示完全合法发件人地址的电子邮件。该漏洞似乎已被修复，但事实证明，11 月 14 日，微软暂时中止了 Exchange Server 的更新发布。与此同时，我们已经发现有人试图利用这个漏洞。到目前为止，这些案例都是孤立的：看起来有人正在测试概念验证。因此，卡巴斯基内容过滤方法研究部门在我们所有的电子邮件安全解决方案中都添加了一种方法，用于检测利用 CVE-2024-49040 进行欺骗的尝试。

CVE-2024-49040 是一个 CVSS 评级为 7.5 的漏洞，与 Exchange Server 2019 和 Exchange Server 2016 相关，被列为 “重要 ”漏洞。其本质在于一个不正确的 P2 FROM 标头处理策略。攻击者可以利用它使该标头包含两个电子邮件地址：真实地址（对受害者隐藏）和合法地址（向受害者显示）。因此，Microsoft Exchange 会正确检查发件人地址，但会向收件人显示一个完全不同的地址，而这个地址在用户看来并不可疑（例如，同一公司员工的内部地址）。

在 11 月 12 日的补丁中，微软添加了一项新功能，可以检测不符合 RFC 5322 互联网邮件格式标准的 P2 FROM 头信息，这应该可以解决这一问题。然而，据微软博客上的一篇文章称，一些用户开始遇到传输规则的问题，有时安装更新后传输规则会停止工作。因此，该更新的发布被暂停，将在重新发布后恢复。

为了防止贵公司员工受到 CVE-2024-49040 漏洞利用的误导，我们在所有用于保护企业邮件的相关解决方案中添加了一条用于检测利用该漏洞的尝试的规则。它适用于卡巴斯基安全软件（Microsoft Exchange Server）、卡巴斯基安全软件（Linux Mail Server）和卡巴斯基安全邮件网关。