Lỗ hổng mới SMTP cho phép kẻ tấn công vượt qua bảo mật và email giả mạo


 Một kỹ thuật khai thác mới được gọi là buôn lậu Giao thức truyền thư đơn giản (SMTP) có thể được vũ khí hóa bởi các tác nhân đe dọa để gửi email giả mạo với địa chỉ người gửi giả mạo trong khi bỏ qua các biện pháp bảo mật.

"Các tác nhân đe dọa có thể lạm dụng các máy chủ SMTP dễ bị tấn công trên toàn thế giới để gửi email độc hại từ các địa chỉ email tùy ý, cho phép các cuộc tấn công lừa đảo có chủ đích", Timo Longin, một nhà tư vấn bảo mật cao cấp tại SEC Consult, cho biết trong một phân tích được công bố vào tháng trước.

SMTP là một giao thức TCP / IP được sử dụng để gửi và nhận email qua mạng. Để chuyển tiếp thư từ ứng dụng email khách (còn gọi là tác nhân người dùng thư), kết nối SMTP được thiết lập giữa máy khách và máy chủ để truyền nội dung thực tế của email.

Sau đó, máy chủ dựa vào cái được gọi là tác nhân chuyển thư (MTA) để kiểm tra miền của địa chỉ email của người nhận và nếu nó khác với địa chỉ của người gửi, nó sẽ truy vấn hệ thống tên miền (DNS) để tra cứu bản ghi MX (bộ trao đổi thư) cho miền của người nhận và hoàn tất trao đổi thư.

Mấu chốt của buôn lậu SMTP bắt nguồn từ sự không nhất quán phát sinh khi các máy chủ SMTP đi và đến xử lý các chuỗi dữ liệu cuối khác nhau, có khả năng cho phép các tác nhân đe dọa thoát ra khỏi dữ liệu tin nhắn, "buôn lậu" các lệnh SMTP tùy ý và thậm chí gửi các email riêng biệt.

Nó mượn khái niệm từ một phương thức tấn công đã biết được gọi là buôn lậu yêu cầu HTTP, lợi dụng sự khác biệt trong việc giải thích và xử lý các tiêu đề HTTP "Độ dài nội dung" và "Mã hóa chuyển" để đặt trước một yêu cầu mơ hồ cho chuỗi yêu cầu đến.

Cụ thể, nó khai thác các lỗ hổng bảo mật trong các máy chủ nhắn tin từ Microsoft, GMX và Cisco để gửi email giả mạo hàng triệu tên miền. Cũng bị ảnh hưởng là việc triển khai SMTP từ Postfix và Sendmail.

Điều này cho phép gửi các email giả mạo có vẻ giống như chúng có nguồn gốc từ những người gửi hợp pháp và kiểm tra đánh bại các kiểm tra được dựng lên để đảm bảo tính xác thực của thư đến - tức là Thư được xác định khóa miền (DKIM), Xác thực thư dựa trên miền, Báo cáo và tuân thủ (DMARC) và Khung chính sách người gửi (SPF).

Trong khi Microsoft và GMX đã khắc phục các vấn đề, Cisco cho biết những phát hiện này không tạo thành "lỗ hổng, mà là một tính năng và họ sẽ không thay đổi cấu hình mặc định". Do đó, vẫn có thể chuyển lậu SMTP đến các phiên bản Cisco Secure Email với cấu hình mặc định.

Để khắc phục, SEC Consult khuyến nghị người dùng Cisco thay đổi cài đặt của họ từ "Sạch" thành "Cho phép" để tránh nhận được email giả mạo với kiểm tra DMARC hợp lệ.

Mới hơn Cũ hơn