背景／Mick Haupt on Unsplash

微软于上周发布的Exchange Server修补程序引发部份系统停止收发信件，迅即遭微软撤回待日后重发。

上周包含在11月Patch Tuesday发布的Exchange Server安全更新版，是为了解决编号CVE-2024-49040的冒名漏洞，影响Exchange Server 2016及2019。不过在发布隔天微软就宣布暂停部署，原因是部份管理员反映，安装更新后邮件完全暂停收发。

微软解释，该公司注意到用户在安装本更新后，发生传输（Transport）规则不时暂停的问题。初步调查显示，这发生在使用自有Transport或DLP规则的用户身上。

微软已启动调查，并在上周暂停经由Windows Update或Microsoft Update发布这个版本的Exchange Server更新，预定之后重新发送新版更新。在此之前，微软建议出现上述情形的企业移除11月的软件更新，但未使用Transport或DLP规则，也未发生邮件停摆情形者，微软说不影响11月安全更新的使用

本更新修补的CVE-2024-49040为CVSS 3.1版风险评分7.5的冒名漏洞，能让攻击者在恶意邮件中冒用合法寄送者。它是起于邮件传输中，Exchange Server对P2 FROM header的验证不当，使得不符合RFC 5322 header格式的信件也能通过，并以合法邮件的样貌出现在Microsoft Outlook之中。

上周微软警告，CVE-2024-49040已经发生滥用情形。因此，若企业未使用Transport或DLP规则，也未发生邮件停摆情形者，仍应保留11月安全更新。