Skip to content

IoT OT Security News

  • Tracking
  • In The Era
  • CISA KEV
  • Security by Design
  • Statistics
  • About
IoT OT Security News

Microsoft Exchange の脆弱性 CVE-2024-49040:なりすましの検出/警告で対応

Microsoft Exchange adds warning to emails abusing spoofing flaw

2024/11/12 BleepingComputer — Microsoft が公表したのは、Exchange Server を標的とする成りすまし攻撃を可能にする、深刻度の高い脆弱性 CVE-2024-49040 に関する情報である。この脆弱性 CVE-2024-49040 は、 Exchange Server 2016/2019 に影響を及ぼすものであり、Solidlab のセキュリティ研究者である Vsevolod Kokorin により、2024年の前半に発見/報告されたものだ。

2024年5月に公開されたレポートで Vsevolod Kokorin は、「この、なりすましメールにつながる脆弱性は、異なる方法で SMTP サーバが、受信者アドレスを解析することに起因する」と述べている。

さらに彼は、「一部のメール・プロバイダーが RFC 標準に準拠せずに、グループ名に対して “<” と “>” の使用を許可するという、別の問題も発見した。RFC 標準に従って、 [From]フィールドを正確に解析するメール・プロバイダーは、この調査中に1社も見つからなかった」と指摘している。

CVE-2024-49040 email spoofing
CVE-2024-49040 email spoofing (Vsevolod Kokorin)

この脆弱性 CVE-2024-49040 は、Exchange Server を標的とする成りすまし攻撃に使用される可能性があることを、Microsoft は警告している。同社は、2024年11月の Patch Tuesday の一環として、悪用の検出/警告バナーを追加するという、更新プログラムをリリースしている。

Microsoft の説明は、「この脆弱性は、トランスポートで発生する、P2 FROM ヘッダー検証の実装に起因する。現在の実装では、RFC 5322 に準拠しない P2 FROM ヘッダーの一部が通過してしまうため、Microsoft Outlook などのメール・クライアントが、成りすました攻撃者を、正当な送信者であるかのように表示する可能性がある」というものだ。

Exchange サーバが悪用を警告するようになった

現時点の Microsoft は、脆弱性 CVE-2024-49040 を修正を完了していないため、このような不正なヘッダーを含む電子メールであっても、受信が可能な状況にある。その一方で同社は、Exchange Server November 2024 Security Update (SU) をインストールすることで、Exchange Server による不正な電子メールの検出が行われ、警告が表示されるようになると述べている。

脆弱性 CVE-2024-49040 に対する悪用の検出と電子メールの警告は、セキュア設定が有効化されている、すべてのシステムのデフォルトで有効化される。

最新の Exchange server では、成りすました送信者からの電子メールだと判断された場合に、以下のような警告が本文に追加される:

“このメールは不審であると思われる。信頼できる方法で送信元を確認するまでは、このメールの情報/リンク/添付ファイルなどを信用しないようにすべきだ”

non-rfc-compliant-p2-from-header-warning
疑わしいメッセージに関する警告 (Microsoft)

さらに、X-MS-Exchange-P2FromRegexMatch ヘッダーが表示されるため、Custom Mail Flow Rules を用いるユーザーは、この脆弱性の悪用を試みるフィッシング・メールを拒否できるようになる。

Microsoft は、この新しいセキュリティ機能を無効化したいユーザーのために、以下の PowerShell コマンドを提供している (Exchange 管理シェルから実行するものだが、推奨はしない):

New-SettingOverride -Name "DisableNonCompliantP2FromProtection" -Component "Transport" -Section "NonCompliantSenderSettings" -Parameters @("AddDisclaimerforRegexMatch=false") -Reason "Disabled For Troubleshooting"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

Microsoft は、「この機能は、New-SettingOverride を使用することで無効化できる。しかし、悪意の第三者からのフィッシング攻撃に対して脆弱になるため、この機能の有効化を維持することを、強く推奨する」と警告している。

Microsoft Exchange の、なりすましの脆弱性 CVE-2024-49040 ですが、悪意のメールに対する検出/警告で、取り急ぎの対応という感じですね。ご利用のチームは、ご注意ください。よろしければ、Microsoft Exchange Server で検索も、ご参照ください。

Share this:

  • Tweet
Like Loading...
Unknown's avatarAuthor AiototsecPosted on November 12, 2024November 25, 2024Categories Scammer, VulnerabilityTags CVE-2024-49040, Exchange, Microsoft, Outlook, Phishing, Scammer, Solidlab, Spam Email, Spoofing, unpatched, Vulnerability

Post navigation

Previous Previous post: CISA KEV 警告 24/11/12:Microsoft/Cisco/Atlassian/Metabase の脆弱性を登録
Next Next post: Google Cloud の新たな取組:クラウド脆弱性に対する CVE の割り当てを開始

Categories Dropdown

  • Twitter
  • Facebook
November 2024
M T W T F S S
 123
45678910
11121314151617
18192021222324
252627282930  
« Oct   Dec »

Top Posts & Pages

  • Chrome/Edge のエクステンションを悪用:430万人を感染させた ShadyPanda のキャンペーンとは?
  • Microsoft Office ログイン時の Something Went Wrong:改善の第一弾とは?
  • Apache Tika Core の脆弱性 CVE-2025-66516 が FIX:悪意の PDF を介した情報漏洩
  • 70種類のペンテスト・ツールを統合:NETREAPER が提供するシンプルなメニュー・ベースの環境とは?
  • OpenSSH の脆弱性 CVE-2025-61984 が FIX:ProxyCommand 経由での RCE と PoC 公開
  • CodeRabbit 本番環境サーバにおける RCE 脆弱性:100 万件以上のリポジトリに影響が生じた可能性
  • Apache Tomcat の複数の脆弱性が FIX:サービス拒否と認証バイパスの恐れ
  • React を用いるサービス 215 万件以上が攻撃対象:React2Shell 公開直後から積極的な悪用を確認
  • React2Shell の悪用試行の拡大を観測:中国に支援される脅威アクターによる攻撃キャンペーン
  • LockBit 5.0 のインフラが漏洩:判明した IP アドレスとドメインのブロックが必須

Categories

API APT Asia AuthN AuthZ BruteForce BugBounty CyberAttack DarkWeb DataBreach DataLeak DDoS DoubleExtortion Exploit Literacy LOLbin MageCartAttack Malware MCP MisConfiguration NHI Outage ParadigmShift Privacy Protection RaaS Ransomware RAT Repository Research Resilience Scammer SecTools SocialEngineering SupplyChain TTP Uncategorized Vulnerability WateringHoleAttack Zero Trust _AI/ML _CDN _Cloud _Container _CryptCcurrency _Defence _Education _Finance _Government _HealthCare _Human _ICS _IDS/IPS _Industry _Infrastructure _Mobile _OpenSource _PLC _Regulation _Retail _RTOS _Space _Statistics _Storage _Telecom _Transportation

Archives

  • December 2025 (46)
  • November 2025 (156)
  • October 2025 (177)
  • September 2025 (172)
  • August 2025 (165)
  • July 2025 (176)
  • June 2025 (192)
  • May 2025 (216)
  • April 2025 (192)
  • March 2025 (208)
  • February 2025 (181)
  • January 2025 (185)
  • December 2024 (172)
  • November 2024 (166)
  • October 2024 (184)
  • September 2024 (171)
  • August 2024 (183)
  • July 2024 (188)
  • June 2024 (156)
  • May 2024 (156)
  • April 2024 (155)
  • March 2024 (151)
  • February 2024 (131)
  • January 2024 (132)
  • December 2023 (116)
  • November 2023 (131)
  • October 2023 (124)
  • September 2023 (101)
  • August 2023 (111)
  • July 2023 (110)
  • June 2023 (113)
  • May 2023 (129)
  • April 2023 (127)
  • March 2023 (129)
  • February 2023 (118)
  • January 2023 (138)
  • December 2022 (106)
  • November 2022 (114)
  • October 2022 (120)
  • September 2022 (118)
  • August 2022 (133)
  • July 2022 (97)
  • June 2022 (117)
  • May 2022 (94)
  • April 2022 (112)
  • March 2022 (132)
  • February 2022 (105)
  • January 2022 (128)
  • December 2021 (111)
  • November 2021 (100)
  • October 2021 (110)
  • September 2021 (131)
  • August 2021 (105)
  • July 2021 (105)
  • June 2021 (103)
  • May 2021 (72)
  • April 2021 (58)

Categories

  • API (238)
  • APT (523)
  • Asia (398)
  • AuthN AuthZ (789)
  • BruteForce (66)
  • BugBounty (73)
  • CyberAttack (3,201)
  • DarkWeb (228)
  • DataBreach (550)
  • DataLeak (194)
  • DDoS (164)
  • DoubleExtortion (15)
  • Exploit (1,361)
  • Literacy (2,281)
  • LOLbin (57)
  • MageCartAttack (14)
  • Malware (1,421)
  • MCP (16)
  • MisConfiguration (57)
  • NHI (8)
  • Outage (106)
  • ParadigmShift (181)
  • Privacy (240)
  • Protection (649)
  • RaaS (121)
  • Ransomware (721)
  • RAT (777)
  • Repository (325)
  • Research (1,210)
  • Resilience (133)
  • Scammer (614)
  • SecTools (210)
  • SocialEngineering (47)
  • SupplyChain (404)
  • TTP (1,001)
  • Uncategorized (11)
  • Vulnerability (4,503)
  • WateringHoleAttack (4)
  • Zero Trust (382)
  • _AI/ML (306)
  • _CDN (4)
  • _Cloud (364)
  • _Container (73)
  • _CryptCcurrency (40)
  • _Defence (162)
  • _Education (8)
  • _Finance (160)
  • _Government (1,037)
  • _HealthCare (47)
  • _Human (51)
  • _ICS (85)
  • _IDS/IPS (182)
  • _Industry (221)
  • _Infrastructure (129)
  • _Mobile (162)
  • _OpenSource (1,385)
  • _PLC (39)
  • _Regulation (158)
  • _Retail (76)
  • _RTOS (6)
  • _Space (26)
  • _Statistics (415)
  • _Storage (70)
  • _Telecom (77)
  • _Transportation (56)
  • Tracking
  • In The Era
  • CISA KEV
  • Security by Design
  • Statistics
  • About
IoT OT Security News Blog at WordPress.com.
  • Reblog
  • Subscribe Subscribed
    • IoT OT Security News
      • Join 170 other subscribers
    • Already have a WordPress.com account? Log in now.
    • IoT OT Security News
    • Subscribe Subscribed
    • Sign up
    • Log in
    • Copy shortlink
    • Report this content
    • View post in Reader
    • Manage subscriptions
    • Collapse this bar
 

Loading Comments...
 

You must be logged in to post a comment.

    %d