[English]Mit dem Sicherheitsupdate vom November 2024 hat Microsoft seine Exchange 2016- und Exchange 2019-Server mit einer neuen Funktion versehen. Microsoft Exchange warnt nun bei empfangen zu E-Mails, die eine Spoofing-Schwachstelle (Exchange Server non-RFC compliant P2 FROM header detection) ausnutzen. Einziges Problem: Die Sicherheitsupdates vom November 2024 sind aktuell gestoppt.
Anzeige
Non-RFC compliant P2 FROM header detection
Im Blog-Beitrag Microsoft Exchange Server Updates 12. November 2024 hatte ich über die Neuerungen berichtet, die mit den Sicherheitsupdates für Exchange 2016- und Exchange 2019-Server ausgerollt wurden. Dabei wurde eine neue Funktion implementiert, um nicht RFC 5322-kompatible P2-FROM-Header in eingehenden E-Mail-Nachrichten zu erkennen.
Der P2-FROM-Header in einer E-Mail ist Teil des Nachrichtenkopfes, der dem E-Mail-Client des Empfängers (z. B. Outlook) angezeigt wird. Es ist die E-Mail-Adresse oder der Name des Absenders (wenn der Absender intern ist), der im Feld „Von" angezeigt wird, wenn Sie eine E-Mail in Ihrem Posteingang anzeigen.
Spoofing-Schwachstelle CVE-2024-49040
Im November 2024 wurde dann von Microsoft bestätigt, dass es in Exchange 2016- und Exchange 2019-Server die Spoofing-Schwachstelle CVE-2024-49040 gibt, und diese mit dem November 2024-Sicherheitsupdate geschlossen wird.
Vsevolod Kokorin von Solidlab hat diese Schwachstelle entdeckt und im Mai 2024 in diesem Beitrag darüber berichtet. Problem ist, dass SMTP-Server die Empfängeradresse von Mails unterschiedlich auswerten, was ein E-Mail-Spoofing ermöglicht. Die Kollegen von Bleeping Computer haben diese Erkenntnisse hier thematisiert.
Anzeige
Microsoft warnt vor CVE-2024-49040 Spoofing
Nachdem Microsoft von Solidlab über die Spoofing-Schwachstelle CVE-2024-49040 in Exchange Server informiert wurde, hat man das Ganze untersucht. Microsoft schreibt, dass die Schwachstelle durch die aktuelle Implementierung der P2 FROM-Header-Überprüfung verursacht wird, die während des Transports erfolgt. Die aktuelle Implementierung lässt einige nicht RFC5322-konforme P2 FROM-Header passieren. Das kann dazu führen, dass der E-Mail-Client (z. B. Microsoft Outlook) einen gefälschten Absender anzeigt, als wäre er legitim.
Ab dem Microsoft Exchange Server Updates 12. November 2024 können Exchange Server E-Mail-Nachrichten, die potenziell schädliche Muster im P2 FROM-Header enthalten, erkennen und kennzeichnen. Wird vom Exchange Server eine verdächtige Nachricht erkannt, wird dem Text der E-Mail-Nachricht automatisch der folgende Haftungsausschluss vorangestellt:
Der Exchange Server fügt außerdem den X-MS-Exchange-P2FromRegexMatch-Header zu jeder E-Mail-Nachricht hinzu, die von dieser Funktion erkannt wird. Administratoren können eine Exchange Transportregel (ETR) verwenden, um den Header zu erkennen und eine bestimmte Aktion auszuführen.
Microsoft gibt im Support-Beitrag ein Beispiel an. Die Erkennung von Spoofing-Mails ist bei installiertem November 2024-Sicherheitsupdate automatisch bei Exchange Server 2016/2019 aktiviert. Administratoren können die Funktion mithilfe von New-SettingOverride deaktivieren – die PowerShell-Befehle sind im Support-Beitrag ebenfalls erwähnt.
Anzeige
Was ist ein P2-FROM-Header?
Ich habe in verschienden Berichten zu dem Thema diesen Begriff gelesen und verstehe nicht, was damit ausgedrückt werden soll. Im Bereich von SMTP und Internet-E-Mail kenne ich mich aus, dort wird dieser Begriff nicht verwendt. Es gibt in dem Zusammenhang ein "Header-From" und ein "Envelope-From", aber kein "P2-From". Daher ist der Verweis auf RFC 5322 für mich auch nicht hilfreich, es kommt schließlich im ganzen RFC kein "P2" vor.
Wenn es ein Spezialbegriff auf dem Microsoft-Exchange-Universum ist, warum findet man bei Microsoft keine Erkläung dazu?
https://answers.microsoft.com/en-us/msoffice/forum/all/what-is-p1-and-p2-header/7f266f21-e055-44c9-96a7-93aae32fca68