Basit Posta Aktarım Protokolü (SMTP) kaçakçılığı adı verilen yeni bir istismar tekniği, tehdit aktörleri tarafından, güvenlik önlemlerini atlayarak sahte gönderen adresleriyle sahte e-postalar göndermek üzere silah haline getirilebilir.
SEC Consult’un kıdemli güvenlik danışmanı Timo Longin, geçen ay yayınlanan bir analizde, “Tehdit aktörleri, rastgele e-posta adreslerinden kötü amaçlı e-postalar göndermek için dünya çapındaki savunmasız SMTP sunucularını kötüye kullanabilir ve hedefli kimlik avı saldırılarına izin verebilir” dedi.
SMTP, ağ üzerinden e-posta mesajları göndermek ve almak için kullanılan bir TCP/IP protokolüdür. Bir e-posta istemcisinden (aka posta kullanıcı aracısı) gelen bir mesajı aktarmak için, e-postanın gerçek içeriğini iletmek amacıyla istemci ile sunucu arasında bir SMTP bağlantısı kurulur.
Sunucu daha sonra alıcının e-posta adresinin etki alanını kontrol etmek için posta aktarım aracısı (MTA) adı verilen şeye güvenir ve göndereninkinden farklıysa, MX’i (posta) aramak için alan adı sistemini (DNS) sorgular. alıcının etki alanı için kayıt yapın ve posta alışverişini tamamlayın.
SMTP kaçakçılığının temelinde, giden ve gelen SMTP sunucularının veri sonu dizilerini farklı şekilde işlemesi sonucu ortaya çıkan tutarsızlıklar yatmaktadır; bu durum potansiyel olarak tehdit aktörlerinin mesaj verilerini sızdırmasına, keyfi SMTP komutlarını “kaçırmasına” ve hatta ayrı ayrı mesaj göndermesine olanak tanımaktadır. e-postalar.
Bu kavramı, gelen isteğin başına belirsiz bir istek eklemek için “İçerik Uzunluğu” ve “Aktarım Kodlaması” HTTP başlıklarının yorumlanması ve işlenmesindeki farklılıklardan yararlanan, HTTP istek kaçakçılığı olarak adlandırılan bilinen bir saldırı yönteminden alır. zincir.
Özellikle Microsoft, GMX ve Cisco’nun mesajlaşma sunucularındaki güvenlik açıklarından yararlanarak milyonlarca alan adını taklit eden e-postalar gönderiyor. Ayrıca Postfix ve Sendmail’in SMTP uygulamaları da etkilendi.
Bu, meşru gönderenlerden geliyormuş gibi görünen sahte e-postaların gönderilmesine ve gelen mesajların orijinalliğini sağlamak için yapılan kontrollerin (ör. Etki Alanı Anahtarlarıyla Tanımlanmış Posta (DKIM), Etki Alanı Tabanlı İleti Kimlik Doğrulaması, Raporlama ve Uygunluk (DMARC)) engellenmesine olanak tanır. ) ve Gönderen Politikası Çerçevesi (SPF).
Microsoft ve GMX sorunları düzeltirken Cisco, bulguların bir “güvenlik açığı değil, bir özellik” teşkil ettiğini ve varsayılan yapılandırmayı değiştirmeyeceklerini söyledi. Sonuç olarak, Cisco Güvenli E-posta örneklerine gelen SMTP kaçakçılığı, varsayılan yapılandırmalarla hâlâ mümkündür.
Çözüm olarak SEC Consult, geçerli DMARC kontrolleri içeren sahte e-postalar almayı önlemek için Cisco kullanıcılarının ayarlarını “Temiz” yerine “İzin Ver” olarak değiştirmelerini önerir.