Microsoft heeft besloten om de uitrol van een beveiligingsupdate voor een spoofinglek in Exchange Server tijdelijk te staken. Aanleiding zijn problemen bij klanten, waardoor ingestelde transport rules niet meer werken, wat gevolgen heeft voor het afleveren van mail. De kwetsbaarheid (CVE-2024-49040) laat een aanvaller spoofingaanvallen tegen Exchange-servers uitvoeren.

Het beveiligingslek wordt veroorzaakt door de huidige implementatie van de 'P2 FROM header verificatie', die tijdens het transport plaatsvindt. De P2 FROM header in een e-mail is onderdeel van de message header die in de e-mailclient van de ontvanger wordt weergegeven. "De huidige implementatie laat sommige non-RFC 5322 compliant P2 FROM headers door, wat ervoor kan zorgen dat de e-mailclient (bijvoorbeeld Microsoft Outlook), een vervalste afzender als legitiem weergeeft", aldus de uitleg van Microsoft.

De beveiligingsupdate van Microsoft verhelpt het spoofinglek niet, maar laat gebruikers een waarschuwing zien als er een e-mail wordt gedetecteerd die mogelijk misbruik van de kwetsbaarheid maakt. Microsoft laat in een update van het beveiligingsbulletin weten dat klanten na installatie van de beveiligingsupdate met problemen te maken krijgen. Zo blijken ingestelde transport rules periodiek te stoppen met werken.

Het gaat dan specifiek om organisaties met hun eigen transport of DLP (data loss prevention) rules. Klanten die met deze problemen te maken hebben moeten mogelijk de beveiligingsupdate verwijderen totdat er een nieuwe versie van wordt uitgebracht. Wanneer de nieuwe versie van de patch verschijnt is onbekend. Vanwege de problemen is de uitrol van de update gestaakt.