Управление по организации борьбы с противоправным использованием информационно-коммуникационных технологий (УБК) МВД России предупредило о критической уязвимости в почтовом сервере Exim, которая позволяет злоумышленникам рассылать фишинговые письма с реально скомпрометированных серверов. Оценка опасности - 9,8 балла из 10.
«Такие сообщения часто проходят проверки доверия, потому что отправляются уже не с поддельных адресов, а с реально скомпрометированных серверов», - отметили в управлении.
Проблема затрагивает версии Exim 4.97–4.99.2, собранные с поддержкой GnuTLS. Сборки, использующие OpenSSL, данной уязвимостью не затронуты.
Уязвимость (CVE-2026-45185) получила неофициальное название «Dead.Letter» . Она возникает на этапе завершения TLS-сессии при передаче сообщения через SMTP-расширение CHUNKING/BDAT. Клиент отправляет сообщение close_notify до завершения передачи тела письма, после чего добавляет один байт в рамках того же TCP-соединения. В результате Exim может записать данные в уже освобожденный буфер памяти, что приводит к повреждению кучи и потенциально позволяет выполнить произвольный код на сервере.
Для эксплуатации уязвимости злоумышленнику достаточно возможности установить TLS-соединение и использовать SMTP-расширение CHUNKING/BDAT. Аутентификация не требуется.
По оценкам экспертов, в российском сегменте сети потенциально уязвимыми могут оставаться до 20 тысяч серверов. Exim является одним из самых распространенных почтовых серверов в мире и используется по умолчанию во многих дистрибутивах Linux, включая Debian и Ubuntu.
«На практике подобные уязвимости могут затронуть и обычных пользователей. Именно через компрометацию почтовых серверов злоумышленники получают возможность перехватывать переписку, рассылать фишинговые письма от имени реальных организаций, распространять вредоносные вложения и использовать взломанные серверы в мошеннических схемах», - добавили в УБК МВД.
Разработчики Exim получили сообщение об ошибке 1 мая 2026 года от исследователя Федерико Киршбаума из XBOW Security . 12 мая 2026 года был выпущен корректирующий релиз Exim 4.99.3, устраняющий уязвимость . Патч обеспечивает чистый сброс стека обработки ввода при получении close_notify во время активной передачи BDAT, предотвращая дальнейшее использование устаревших указателей.
Администраторам почтовых серверов рекомендуется как можно скорее обновить Exim до версии 4.99.3 или новее. Других способов полностью устранить проблему не существует.
В МВД напоминают гражданам о необходимости соблюдать базовые правила цифровой гигиены: не переходить по ссылкам из подозрительных писем, проверять адрес отправителя (даже знакомый адрес теперь не гарантирует безопасность), обращать внимание на опечатки и странные формулировки, не открывать вложения, если письмо не ожидалось. При получении письма от банка или госоргана рекомендовано заходить на сайт организации напрямую через браузер.
