A Microsoft revelou uma vulnerabilidade grave no Exchange Server que permite a invasores forjarem remetentes legítimos em e-mails recebidos, aumentando a eficácia de mensagens maliciosas. A falha de segurança, catalogada como CVE-2024-49040, afeta as versões do Exchange Server 2016 e 2019 e foi descoberta pelo pesquisador de segurança Vsevolod Kokorin, da Solidlab, que notificou a Microsoft sobre o problema no início deste ano. Segundo Kokorin, a questão está na forma como servidores SMTP interpretam endereços de destinatários, o que abre uma brecha para ataques de falsificação de e-mails. Ele também apontou que alguns provedores de e-mail permitem o uso de símbolos como < e > em nomes de grupos, algo que não está em conformidade com os padrões RFC, contribuindo para o problema. Em sua pesquisa, Kokorin não encontrou nenhum provedor que interpretasse corretamente o campo “From” conforme os padrões estabelecidos.

A Microsoft informou que a falha pode ser explorada em ataques de falsificação de e-mails direcionados a servidores Exchange e lançou atualizações como parte do Patch Tuesday de novembro para incluir mecanismos de detecção e banners de alerta em e-mails potencialmente maliciosos. O problema decorre da verificação do cabeçalho P2 FROM, que, na implementação atual, permite a passagem de cabeçalhos não compatíveis com o padrão RFC 5322. Isso faz com que clientes de e-mail, como o Outlook, exibam remetentes forjados como se fossem legítimos.

Com a nova atualização de segurança de novembro de 2024 para o Exchange Server, os servidores agora conseguem detectar e adicionar um alerta a e-mails suspeitos de forjarem o remetente. Embora a Microsoft não recomende, a empresa forneceu um comando em PowerShell que permite desativar essa nova função de segurança para aqueles que desejarem.