Новый метод использования, называемый контрабандой по протоколу Simple Mail Transfer Protocol (SMTP), может быть использован злоумышленниками для отправки поддельных электронных писем с поддельными адресами отправителя в обход мер безопасности.
"Злоумышленники могут злоупотреблять уязвимыми SMTP-серверами по всему миру для отправки вредоносных электронных писем с произвольных адресов электронной почты, что позволяет проводить целевые фишинговые атаки", - сказал Тимо Лонгин, старший консультант по безопасности SEC Consult, в анализе, опубликованном в прошлом месяце.
SMTP - это протокол TCP / IP, используемый для отправки и получения сообщений электронной почты по сети. Для ретрансляции сообщения от почтового клиента (он же почтовый пользовательский агент) между клиентом и сервером устанавливается SMTP-соединение для передачи фактического содержимого электронного письма.
Затем сервер полагается на то, что называется агентом передачи почты (MTA), для проверки домена адреса электронной почты получателя, и если он отличается от адреса электронной почты отправителя, он запрашивает систему доменных имен (DNS) для поиска записи MX (почтового обменника) для домена получателя и завершения обмена почтой.
Суть контрабанды SMTP кроется в несоответствиях, возникающих, когда исходящий и входящий SMTP-серверы по-разному обрабатывают последовательности конечных данных, что потенциально позволяет субъектам угрозы взломать данные сообщения, "переправлять" произвольные SMTP-команды и даже отправлять отдельные электронные письма.
Концепция заимствована из известного метода атаки, известного как контрабанда HTTP-запросов, который использует в своих интересах расхождения в интерпретации и обработке HTTP-заголовков "Content-Length" и "Transfer-Encoding", чтобы добавить неоднозначный запрос к цепочке входящих запросов.
В частности, он использует недостатки безопасности в серверах обмена сообщениями Microsoft, GMX и Cisco для отправки электронных писем с подменой миллионов доменов. Также затронуты реализации SMTP от Postfix и Sendmail.
Это позволяет отправлять поддельные электронные письма, которые на первый взгляд выглядят так, как будто они исходят от законных отправителей, и преодолевать проверки, установленные для обеспечения подлинности входящих сообщений, то есть почту, идентифицированную DomainKeys (DKIM), аутентификацию сообщений на основе домена, отчетность и соответствие требованиям (DMARC) и структуру политики отправителя (SPF).
Хотя Microsoft и GMX устранили проблемы, Cisco заявила, что полученные данные представляют собой не "уязвимость, а функцию, и что они не изменят конфигурацию по умолчанию". В результате контрабанда входящего SMTP в экземпляры Cisco Secure Email по-прежнему возможна при конфигурациях по умолчанию.
В качестве исправления SEC Consult рекомендует пользователям Cisco изменить свои настройки с "Чистых" на "Разрешить", чтобы избежать получения поддельных электронных писем с действительными проверками DMARC.
"Злоумышленники могут злоупотреблять уязвимыми SMTP-серверами по всему миру для отправки вредоносных электронных писем с произвольных адресов электронной почты, что позволяет проводить целевые фишинговые атаки", - сказал Тимо Лонгин, старший консультант по безопасности SEC Consult, в анализе, опубликованном в прошлом месяце.
SMTP - это протокол TCP / IP, используемый для отправки и получения сообщений электронной почты по сети. Для ретрансляции сообщения от почтового клиента (он же почтовый пользовательский агент) между клиентом и сервером устанавливается SMTP-соединение для передачи фактического содержимого электронного письма.
Затем сервер полагается на то, что называется агентом передачи почты (MTA), для проверки домена адреса электронной почты получателя, и если он отличается от адреса электронной почты отправителя, он запрашивает систему доменных имен (DNS) для поиска записи MX (почтового обменника) для домена получателя и завершения обмена почтой.
Суть контрабанды SMTP кроется в несоответствиях, возникающих, когда исходящий и входящий SMTP-серверы по-разному обрабатывают последовательности конечных данных, что потенциально позволяет субъектам угрозы взломать данные сообщения, "переправлять" произвольные SMTP-команды и даже отправлять отдельные электронные письма.
Концепция заимствована из известного метода атаки, известного как контрабанда HTTP-запросов, который использует в своих интересах расхождения в интерпретации и обработке HTTP-заголовков "Content-Length" и "Transfer-Encoding", чтобы добавить неоднозначный запрос к цепочке входящих запросов.
В частности, он использует недостатки безопасности в серверах обмена сообщениями Microsoft, GMX и Cisco для отправки электронных писем с подменой миллионов доменов. Также затронуты реализации SMTP от Postfix и Sendmail.
Это позволяет отправлять поддельные электронные письма, которые на первый взгляд выглядят так, как будто они исходят от законных отправителей, и преодолевать проверки, установленные для обеспечения подлинности входящих сообщений, то есть почту, идентифицированную DomainKeys (DKIM), аутентификацию сообщений на основе домена, отчетность и соответствие требованиям (DMARC) и структуру политики отправителя (SPF).
Хотя Microsoft и GMX устранили проблемы, Cisco заявила, что полученные данные представляют собой не "уязвимость, а функцию, и что они не изменят конфигурацию по умолчанию". В результате контрабанда входящего SMTP в экземпляры Cisco Secure Email по-прежнему возможна при конфигурациях по умолчанию.
В качестве исправления SEC Consult рекомендует пользователям Cisco изменить свои настройки с "Чистых" на "Разрешить", чтобы избежать получения поддельных электронных писем с действительными проверками DMARC.
