微軟近日公開披露了一項針對 Exchange Server 的高危漏洞，該漏洞編號為 CVE-2024-49040，已被 Solidlab 的安全研究員 Vsevolod Kokorin 發現并報告。據悉，此漏洞可被攻擊者利用，偽造合法發件人身份，進而更有效地分發攜帶惡意內容的電子郵件。

Kokorin 在其提交給微軟的報告中詳細說明了漏洞成因，主要指向 SMTP 服務器在處理收件人地址時的解析差異，這種差異為電子郵件欺詐行為提供了可能。他進一步指出，部分電子郵件服務提供商在組名中允許使用不符合 RFC 標準的符號，這一做法加劇了安全風險。

微軟對此發出警告，稱該漏洞可能會被用于對 Exchange 服務器進行欺騙性攻擊。作為應對措施，微軟在最近的補丁更新中推出了多項安全修復，并增強了針對該漏洞的檢測機制，一旦檢測到可疑活動，系統將立即發出警告。

據微軟解釋，該漏洞的根源在于 P2 FROM 頭部驗證的實現方式存在缺陷，導致某些不符合 RFC 5322 標準的頭部信息能夠通過驗證，進而使得如 Outlook 等電子郵件客戶端錯誤地將偽造的發件人識別為合法。盡管漏洞尚未被完全修補，微軟表示，在安裝了 2024 年 11 月發布的 Exchange Server 安全更新后，服務器將能夠更有效地檢測出惡意郵件，并在用戶收件前添加相應的警告信息。