Новости SMTP Smuggling: новый метод атаки позволяет хакерам выдать себя за абсолютно любого пользователя

NewsMaker

I'm just a script
Премиум
13,896
20
8 Ноя 2022
Обход проверки подлинности электронной почты ведёт к весьма неожиданным последствиям.


6qk285sdor1otpl4p3wdqgw7orfexr6z.jpg


Исследователь в сфере кибербезопасности Тимо Лонгин в сотрудничестве с компанией SEC Consult Для просмотра ссылки Войди или Зарегистрируйся новый метод атаки, названный «SMTP Smuggling». Он позволяет злоумышленникам отправлять поддельные письма от имени других пользователей, обходя проверку подлинности почты.

SMTP (Simple Mail Transfer Protocol) — стандартный протокол, используемый для передачи электронной почты в Интернете. Он описывает правила обмена сообщениями между почтовыми серверами и клиентами.

По данным специалистов, выявленная проблема эксплуатирует различия в том, как входящие и исходящие SMTP-серверы интерпретируют последовательность символов, обозначающих конец данных письма. Благодаря этим различиям злоумышленник может внедрить в письмо дополнительную информацию, что позволит с лёгкостью обойти проверку SPF , DKIM и DMARC .

В свою очередь, SPF, DKIM и DMARC — механизмы проверки подлинности электронной почты, предназначенные для борьбы со спамом и фишингом. Они анализируют заголовки писем и помогают определить, было ли оно действительно отправлено заявленным отправителем. Однако атака SMTP Smuggling позволяет их обходить.

Проблема затрагивает миллионы доменов, включая Microsоft, Amazon, PayPal, eBay, GitHub, Outlook и Office365. В Для просмотра ссылки Войди или Зарегистрируйся исследователи продемонстрировали реальную возможность отправки писем, фактически, с чужих адресов.


4pbcy7jtvrsjel11yzy4yubpoknvbhdb.png


В качестве одного из примеров исследователями был использован почтовый ящик «admin@outlook[.]com», доступа к которому у и специалистов, разумеется, не было. Тем не менее, жертва атаки получит письмо именно с этого адреса. Точнее, так письмо отобразит входящий SMTP-сервер, который обслуживает уязвимый почтовый сервис.


i1p885pxhmc97zb9zphq4u3ce0m9sa2e.png


Фактически, одно письмо, в которое потенциальным злоумышленником зашиваются дополнительные данные, интерпретируется уязвимым входящим SMTP-сервером как два разных письма. Первое будет иметь фактический почтовый адрес жертвы, а второе — абсолютно любой адрес, которым злоумышленник захочет воспользоваться.


5x5tflez4tkbv0wbc5oq1jf4cp2jt28s.png


На первый взгляд может показаться, что два одновременно доставленных письма вызовут сомнения у потенциальной жертвы, ведь она наверняка свяжет их между собой. Однако, фактически, атакующий может сделать дизайн писем совершенно разным, а цель атаки списать это на простое совпадение, в связи с чем первое сообщение будет проигнорировано, а вот второе обязательно просмотрено.

Уязвимым почтовым провайдерам было сообщено о проблеме конфигурации настроек SMTP-серверов в конце июля. Компания GMX устранила уязвимость в своём сервисе за 10 дней. Microsoft присвоила проблеме средний уровень опасности и выпустила обновление в середине октября. Cisco же, в свою очередь, вообще не считает это уязвимостью и пока не планирует изменять настройки, от чего до сих пор продолжает подвергать угрозе своих клиентов.

SEC Consult отмечает, что атака SMTP Smuggling помогает только обойти проверку подлинности. Спам-фильтры по-прежнему могут определить поддельные письма по содержимому, однако едва ли стоит полагаться на одни лишь спам-фильтры.

По словам исследователей, на текущий момент сложно оценить масштаб угрозы, поскольку анализ не охватил все почтовые серверы. Возможно, существуют и другие уязвимые конфигурации.

Данная уязвимость демонстрирует, что протоколы проверки подлинности электронной почты далеко не идеальны и требуют доработки, чтобы противостоять новым методам атак. Компаниям же, в свою очередь, следует быть бдительными и регулярно устанавливать обновления безопасности для своих почтовых серверов.
 
Источник новости
www.securitylab.ru

Похожие темы