背景／Mick Haupt on Unsplash

微軟於上週釋出的Exchange Server修補程式引發部份系統停止收發信件，迅即遭微軟撤回待日後重發。

上週包含在11月Patch Tuesday釋出的Exchange Server安全更新版，是為瞭解決編號CVE-2024-49040的冒名漏洞，影響Exchange Server 2016及2019。不過在釋出隔天微軟就宣佈暫停部署，原因是部份管理員反映，安裝更新後郵件完全暫停收發。

微軟解釋，該公司注意到用戶在安裝本更新後，發生傳輸（Transport）規則不時暫停的問題。初步調查顯示，這發生在使用自有Transport或DLP規則的用戶身上。

微軟已啟動調查，並在上週暫停經由Windows Update或Microsoft Update發布這個版本的Exchange Server更新，預定之後重新發送新版更新。在此之前，微軟建議出現上述情形的企業移除11月的軟體更新，但未使用Transport或DLP規則，也未發生郵件停擺情形者，微軟說不影響11月安全更新的使用

本更新修補的CVE-2024-49040為CVSS 3.1版風險評分7.5的冒名漏洞，能讓攻擊者在惡意郵件中冒用合法寄送者。它是起於郵件傳輸中，Exchange Server對P2 FROM header的驗證不當，使得不符合RFC 5322 header格式的信件也能通過，並以合法郵件的樣貌出現在Microsoft Outlook之中。

上週微軟警告，CVE-2024-49040已經發生濫用情形。因此，若企業未使用Transport或DLP規則，也未發生郵件停擺情形者，仍應保留11月安全更新。