{"id":306094,"date":"2024-11-16T00:01:11","date_gmt":"2024-11-15T23:01:11","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=306094"},"modified":"2024-11-14T22:29:48","modified_gmt":"2024-11-14T21:29:48","slug":"exchange-2016-2019-warnen-nun-vor-ausnutzung-einer-spoofing-schwachstelle-in-e-mails","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/11\/16\/exchange-2016-2019-warnen-nun-vor-ausnutzung-einer-spoofing-schwachstelle-in-e-mails\/","title":{"rendered":"Exchange 2016\/2019 warnen nun vor Ausnutzung der Spoofing-Schwachstelle CVE-2024-49040 in E-Mails"},"content":{"rendered":"

\"Exchange[English<\/a>]Mit dem Sicherheitsupdate vom November 2024 hat Microsoft seine Exchange 2016- und Exchange 2019-Server mit einer neuen Funktion versehen. Microsoft Exchange warnt nun bei empfangen zu E-Mails, die eine Spoofing-Schwachstelle (Exchange Server non-RFC compliant P2 FROM header detection) ausnutzen. Einziges Problem: Die Sicherheitsupdates vom November 2024 sind aktuell gestoppt.<\/p>\n

<\/p>\n

Non-RFC compliant P2 FROM header detection<\/h2>\n

\"\"Im Blog-Beitrag\u00a0Microsoft Exchange Server Updates 12. November 2024<\/a> hatte ich \u00fcber die Neuerungen berichtet, die mit den Sicherheitsupdates f\u00fcr Exchange 2016- und Exchange 2019-Server ausgerollt wurden. Dabei wurde\u00a0eine neue Funktion implementiert, um nicht RFC 5322-kompatible P2-FROM-Header in eingehenden E-Mail-Nachrichten zu erkennen.<\/p>\n

Der P2-FROM-Header in einer E-Mail ist Teil des Nachrichtenkopfes, der dem E-Mail-Client des Empf\u00e4ngers (z. B. Outlook) angezeigt wird. Es ist die E-Mail-Adresse oder der Name des Absenders (wenn der Absender intern ist), der im Feld \u201eVon\" angezeigt wird, wenn Sie eine E-Mail in Ihrem Posteingang anzeigen.<\/p>\n

Spoofing-Schwachstelle CVE-2024-49040<\/h3>\n

Im November 2024 wurde dann von Microsoft best\u00e4tigt, dass es in Exchange 2016- und Exchange 2019-Server die\u00a0Spoofing-Schwachstelle CVE-2024-49040<\/a> gibt, und diese mit dem November 2024-Sicherheitsupdate geschlossen wird.<\/p>\n

Vsevolod Kokorin von Solidlab hat diese Schwachstelle entdeckt und im Mai 2024 in diesem Beitrag<\/a> dar\u00fcber berichtet.\u00a0Problem ist, dass SMTP-Server die Empf\u00e4ngeradresse\u00a0 von Mails unterschiedlich auswerten, was ein E-Mail-Spoofing erm\u00f6glicht.\u00a0Die Kollegen von Bleeping Computer haben diese Erkenntnisse hier<\/a> thematisiert.<\/p>\n

Microsoft warnt vor CVE-2024-49040 Spoofing<\/h3>\n

Nachdem Microsoft von Solidlab \u00fcber die Spoofing-Schwachstelle CVE-2024-49040<\/a> in Exchange Server informiert wurde, hat man das Ganze untersucht. Microsoft schreibt, dass die Schwachstelle durch die aktuelle Implementierung der P2 FROM-Header-\u00dcberpr\u00fcfung<\/em> verursacht wird, die w\u00e4hrend des Transports erfolgt. Die aktuelle Implementierung l\u00e4sst einige nicht RFC5322-konforme<\/a> P2 FROM-Header passieren. Das kann dazu f\u00fchren, dass der E-Mail-Client (z. B. Microsoft Outlook) einen gef\u00e4lschten Absender anzeigt, als w\u00e4re er legitim.<\/p>\n

Ab dem Microsoft Exchange Server Updates 12. November 2024<\/a> k\u00f6nnen Exchange Server E-Mail-Nachrichten, die potenziell sch\u00e4dliche Muster im P2 FROM-Header enthalten, erkennen und kennzeichnen. Wird vom Exchange Server eine verd\u00e4chtige Nachricht erkannt, wird dem Text der E-Mail-Nachricht automatisch der folgende Haftungsausschluss vorangestellt:<\/p>\n

\"Exchange-Warnung\"<\/a>
\nZum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n

Der Exchange Server f\u00fcgt au\u00dferdem den X-MS-Exchange-P2FromRegexMatch<\/em>-Header zu jeder E-Mail-Nachricht hinzu, die von dieser Funktion erkannt wird. Administratoren k\u00f6nnen eine Exchange Transportregel (ETR) verwenden, um den Header zu erkennen und eine bestimmte Aktion auszuf\u00fchren.<\/p>\n

Microsoft gibt im Support-Beitrag<\/a> ein Beispiel an. Die Erkennung von Spoofing-Mails ist bei installiertem November 2024-Sicherheitsupdate automatisch bei Exchange Server 2016\/2019 aktiviert. Administratoren k\u00f6nnen die Funktion mithilfe von New-SettingOverride<\/a> deaktivieren – die PowerShell-Befehle sind im Support-Beitrag ebenfalls erw\u00e4hnt.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Mit dem Sicherheitsupdate vom November 2024 hat Microsoft seine Exchange 2016- und Exchange 2019-Server mit einer neuen Funktion versehen. Microsoft Exchange warnt nun bei empfangen zu E-Mails, die eine Spoofing-Schwachstelle (Exchange Server non-RFC compliant P2 FROM header detection) ausnutzen. Einziges … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[5359,4328,4315],"class_list":["post-306094","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-exchange","tag-sicherheit","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/306094","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=306094"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/306094\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=306094"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=306094"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=306094"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}