Alerta de segurança

Microsoft Exchange fortalece segurança contra spoofing com alertas em emails

Nova atualização do Microsoft Exchange Server adiciona alertas em emails suspeitos de spoofing, reforçando a segurança contra ataques de phishing que exploram vulnerabilidades de cabeçalhos de remetente.

Imagem da logomarca do Microsoft Exchange

A Microsoft implementou uma atualização de segurança significativa no Exchange Server para combater ataques de spoofing, após a descoberta de uma vulnerabilidade crítica que permite falsificar remetentes legítimos em emails recebidos. Essa falha, identificada como CVE-2024-49040, afeta as versões Exchange Server 2016 e 2019 e foi detectada pelo pesquisador de segurança da Solidlab, Vsevolod Kokorin.

Entendendo a vulnerabilidade

O problema está relacionado ao modo como os servidores SMTP interpretam os endereços dos destinatários, possibilitando que invasores alterem a identidade de remetentes em emails, o que aumenta a eficácia das mensagens maliciosas. Kokorin relatou que essa falha também envolve o uso de caracteres especiais em nomes de grupos, o que contraria as normas RFC, além de inconsistências na forma como os provedores de email interpretam o campo “De”.

Falsificação de e-mail CVE-2024-49040 (Vsevolod Kokorin) Imagem: Bleeping Computer

Atualização de segurança com alertas de detecção

Em resposta, a Microsoft introduziu uma série de atualizações para o Exchange Server em novembro de 2024, como parte de sua Patch Tuesday. Essas atualizações incluem um novo recurso de alerta que identifica e sinaliza emails suspeitos, exibindo uma advertência visível no corpo da mensagem sempre que um cabeçalho de remetente falsificado é detectado. Esse aviso, que inclui a inserção de um cabeçalho X-MS-Exchange-P2FromRegexMatch, permite que administradores configurem regras de rejeição de emails potencialmente fraudulentos.

O alerta emitido nos emails suspeitos recomenda cautela ao usuário: “Aviso: Este email parece suspeito. Não confie nas informações, links ou anexos sem verificar a fonte por meio de um método seguro.” Com isso, a Microsoft visa proteger os usuários contra phishing e outros golpes que exploram essa vulnerabilidade.

Recomendação para manter a proteção ativa

Embora seja possível desativar esse recurso de segurança com o comando PowerShell fornecido pela Microsoft, a recomendação da empresa é mantê-lo ativado, pois sua desativação pode expor a organização a riscos de phishing. A empresa disponibilizou o seguinte comando para desativação temporária, mas apenas para fins de diagnóstico:

New-SettingOverride -Name "DisableNonCompliantP2FromProtection" -Component "Transport" -Section "NonCompliantSenderSettings" -Parameters @("AddDisclaimerforRegexMatch=false") -Reason "Disabled For Troubleshooting"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

De forma geral, a Microsoft alerta que, ao manter esse recurso ativo, as organizações fortalecem sua defesa contra ataques de falsificação de identidade, melhorando a integridade e a segurança de suas comunicações eletrônicas.

Acesse a versão completa
Sair da versão mobile