Microsoft heeft de beveiligingsupdates voor Exchange van november 2024 die deze maand tijdens Patch Tuesday zijn uitgebracht, teruggetrokken vanwege problemen met e-mailbezorging op servers die aangepaste mailflowregels gebruiken.

Het bedrijf kondigde aan dat het de updates van Windows Update en het Downloadcentrum heeft verwijderd na wijdverbreide meldingen van beheerders dat e-mails volledig waren gestopt met stromen.

Dit probleem treft klanten die gebruikmaken van transportregels (ook wel mailflowregels genoemd) of regels voor het voorkomen van gegevensverlies (DLP), die periodiek zullen stoppen nadat de beveiligingsupdates voor Exchange Server 2016 en Exchange Server 2019 van november zijn geïnstalleerd.

Terwijl mailflowregels e-mails in transit filteren en doorsturen (net zoals Outlook-inboxregels voor e-mails die al in de mailbox van de gebruiker zijn beland), voorkomen DLP-regels dat gevoelige informatie per ongeluk wordt gedeeld of gelekt buiten een organisatie.

“We gaan door met het onderzoek en werken aan een permanente oplossing om dit probleem aan te pakken. We zullen deze vrijgeven zodra deze gereed is. We hebben ook de uitrol van de SU van november 2024 naar Windows / Microsoft Update gepauzeerd,” zei Redmond.

Microsoft adviseerde beheerders ook om de buggy beveiligingsupdates van november te deïnstalleren totdat ze opnieuw worden uitgebracht, als ze problemen met mailflow opmerken. Degenen die geen transport- of DLP-regels gebruiken en niet met dit probleem te maken hebben gehad, kunnen hun bijgewerkte Exchange-servers blijven gebruiken.

Waarschuwingen over e-mails die misbruik maken van spoofing-fout

Deze week maakte Microsoft ook een kwetsbaarheid met hoge ernst in Exchange Server bekend (CVE-2024-49040) die aanvallers in staat kan stellen om legitieme afzenders te vervalsen op inkomende e-mails, waardoor schadelijke berichten veel effectiever worden.

“De kwetsbaarheid wordt veroorzaakt door de huidige implementatie van de P2 FROM-headerverificatie, die plaatsvindt in transport,” legde Microsoft uit, waarschuwend dat de beveiligingsfout kon worden gebruikt in spoofing-aanvallen gericht op Exchange-servers.

“De huidige implementatie staat toe dat sommige niet-RFC 5322-compliant P2 FROM-headers passeren, wat ertoe kan leiden dat de e-mailclient (bijvoorbeeld Microsoft Outlook) een vervalste afzender weergeeft alsof deze legitiem is.”

Hoewel Microsoft de kwetsbaarheid nog niet heeft gepatcht en nog steeds e-mails met deze misvormde headers accepteert, zegt Redmond dat servers na de installatie van de Exchange Server november 2024 Security Update (SU) nu een waarschuwing aan verdachte e-mails toevoegen.

Microsoft heeft vier zero-days verholpen tijdens de Patch Tuesday-updates van november 2024, waarvan er twee actief zijn misbruikt in aanvallen en drie openbaar bekendgemaakt.

Het bedrijf pakte ook vier kritieke kwetsbaarheden aan, waaronder twee kwetsbaarheden voor uitvoering van externe code en twee voor het verhogen van privileges.