Yeni SMTP Kaçakçılığı Tekniği DMARC ve E-posta Korumasını Geride Bırakıyor


Kötüye kullanmanın yeni bir yolu onlarca yıllık bir protokol İnternetin başlangıcından bu yana e-posta göndermek için kullanılan saldırganların kaçmasına izin veriyor Etki Alanı Tabanlı İleti Kimlik Doğrulaması, Raporlama ve Uygunluk (DMARC) ve diğer e-posta korumalarımeşru kaynaklardan geliyormuş gibi görünen hedefli kimlik avı saldırılarına karşı kuruluşları ve bireyleri risk altına sokar.

SEC Consult kıdemli güvenlik danışmanı güvenlik araştırmacısı Timo Longin, saldırganların “SMTP kaçakçılığı” adı verilen bir teknik kullanarak, savunmasız sunuculardaki Basit Posta Aktarım Protokolü’nden (SMTP) yararlanarak sahte gönderen adresleriyle çok sayıda kötü amaçlı e-posta gönderebileceğini söylüyor. , açıklığa kavuşmuş bir blog yazısında 18 Aralık’ta yayınlandı.

Hem gelen hem de giden mesajlarda kullanılabilen teknik, istismarlardan yararlanıyor sıfır gün kusurları Milyonlarca alan adından milyonlarca alıcı SMTP sunucusuna sahte e-postalar göndermek için Microsoft, GMX ve Cisco’nun mesajlaşma sunucularında. Microsoft ve GMX kusurlarını yamaladılar, ancak yanlış yapılandırma potansiyeli de var Cisco Güvenli E-posta Firmaya göre hem şirket içi hem de bulut versiyonları henüz ele alınmadı.

“SMTP kaçakçılık saldırganların sahte gönderen adresleriyle (ör. [email protected]Longin, Dark Reading’e şöyle açıklıyor: “Genellikle e-posta altyapısında bu tür saldırıları sınırlamak için bazı hafifletmeler vardır, ancak yeni yaklaşımla bu tür sahte e-postalar iletilecektir.”

SMTP Kaçakçılığı Saldırıları Nasıl Çalışır?

SMTP kaçakçılığı, SMTP protokolünün farklı yorumlarından yararlanan “kaçakçılık güvenlik açığı” ailesinin bir parçasıdır ve diğer protokollerdeki kaçakçılık güvenlik açıklarıyla ilgilidir: HTTP kaçakçılığı.

SMTP kaçakçılığında saldırganlar, gelen ve giden SMTP sunucularının mesajlaşmada kullanılan veri sonu kod dizisini nasıl yorumladığını istismar ediyor — “.” – ile SMTP’ye mesaj verilerinin nerede bittiğine dair farklı bir anlayış kazandırarak bir saldırganın mesaj verilerini kırmasına, rastgele SMTP komutları belirlemesine ve/veya hatta ayrı e-postalar göndermesine olanak tanır.

Longin, “SMTP kaçakçılığı, özel olarak hazırlanmış bir e-postanın bir dizi (etkilenen) e-posta sunucusu aracılığıyla gönderilmesi yoluyla gerçekleşir” diye açıklıyor. “Doğru araçlarla bu, bir saldırgan için kolay bir görevdir.”

Ayrıca bu teknik, kötü amaçlı e-postaların, e-posta koruma protokolleri DMARC, SPF ve DomainKeys Identified Mail (DKIM) tarafından yapılan tipik kontrolleri geçmesine olanak tanır ve mesajların, mesajlaşma sisteminde yerleşik gerekli gerekli aktarma protokollerini geçmiş gibi görünmesini sağlar.

Longin, “Bir sunucu yalnızca bir e-postayı görebilirken, ikincisi protokol içinde gizlendiğinden başka bir sunucu aniden iki e-posta görebilir” diye açıklıyor. “E-posta gönderen adları ve e-posta adresleri sahte hale getirilebilir ve belirlenen SMTP kaçakçılığı saldırısıyla güvenlik özellikleri atlanabilir.”

Longin, e-postaların gerçek e-posta sunucusundan kaçırıldığından/gönderildiğinden, DMARC’nin gerektirdiği SPF hizalama kontrollerinin mesajların geçmesine izin verdiğini açıklıyor. “Bunun nedeni çoğu e-posta sunucusunun [both] SPF ve DKIM uyumu ancak bunlardan yalnızca biri” diyor.

Longin, özellikle tehdit aktörlerinin çalışanlara gelişmiş kimlik avı e-postaları göndermek veya hedef odaklı kimlik avı saldırıları oluşturmak için hedefli sosyal mühendislik kullanmasına izin verdikleri ve “kurbanları, saldırganın e-postasının bilinen bir kişiden alındığına inandırdıkları” için kuruluşların saldırılara karşı risk altında olduğunu ifade ediyor. diyor.

Bu önemli bir tehdit çünkü kimlik avı saldırıları, tehdit aktörlerinin fidye yazılımı ve diğer kötü amaçlı yazılımları yüklemek de dahil olmak üzere daha fazla kötü amaçlı etkinlik gerçekleştirmek için kuruluşların ağlarına sızmasının birincil yolu olmaya devam ediyor.

Etkilenen Sistemler ve Azaltma

Araştırmacılar çeşitli e-posta hizmetlerinde güvenlik açıkları buldular. MicrosoftGMX ve Cisco Güvenli E-posta Bulut Ağ Geçidi, SMTP kaçakçılığına olanak tanır ve birlikte milyonlarca SMTP sunucusunu etkiler.

Araştırmacılar, Microsoft Exchange Online’ın, SPF kayıtlarını Exchange Online’a yönlendiren her alan adından kaçakçılığa izin verdiğini buldu.

“Bu şu anlama geliyor: milyonlarca alan adımicrosoft.com, msn.com, github.com, view.com, office365.com, openai.com ve çok daha fazlası gibi Microsoft’un sahip olduğu çok yüksek değerli bazı hedefler ve ayrıca müşterilerinin etki alanları da dahil olmak üzere tüm dünya çapında ( örneğin tesla.com, mastercard.com, nike.com, vb.),” diye yazdı Longin gönderide.

Ancak araştırmacılar, gelen SMTP sunucusunun BDAT adı verilen bir protokolü desteklemesi gerektiğinden Exchange Online’dan kaçakçılığın bir miktar kısıtlandığını söyledi.

Araştırmacılar, GMX ve Ionos e-posta hizmetlerinin, GMX kayıtlarını GMX’in de bir parçası olduğu Ionos’a yönlendiren alan adlarının gösterdiği gibi, yaklaşık 1,35 milyon farklı alan adından SMTP kaçakçılığına izin verdiğini buldu.

Ancak, SMTP kaçakçılığı her gelen SMTP sunucusu için işe yaramadığı için, bu durumda gelen SMTP sunucularının kabul etmesini gerektirir. . Veri sonu dizisi olarak araştırmacılar, Fastmail ve Runbox dahil olmak üzere daha büyük e-posta sağlayıcılarından yalnızca birkaçının etkilendiğini bulmak için testler yaptılar.

Bu arada Cisco kusuru, 40.000’den fazla savunmasız örneği etkiliyor ve bir saldırganın Amazon, PayPal ve eBay gibi yüksek değerli hedeflere sahte e-postalar göndermesine olanak tanıyor.

Araştırmacılar hataları etkilenen tüm satıcılara açıkladılar ve Microsoft ve GMX sistemlerine yama uygulamak için hızlı bir şekilde yanıt verdi. Ancak Cisco, araştırmacıların kusur olarak gördüğü şeyi “bir hata değil, bir özellik olarak” görüyor ve onların tavsiyelerine aykırı olarak “korunmak için güvenlik açığı bulunan bir varsayılan yapılandırma ayarını değiştirmesi gereken müşterilerine bir uyarı vermeyecek, ” diyor Longin.

Bu nedenle SEC Consult, Cisco Güvenli E-posta Ağ Geçidi (şirket içi) veya Cisco Güvenli E-posta Bulut Ağ Geçidi (bulut) kullanan kuruluşların, “CR ve LF İşleme” varsayılan ayarlarını “Temiz” yerine “İzin Ver” olarak değiştirmelerini önermektedir. Cisco yönergeleri Yöneticilerin yapılması gereken değişikliği anlamalarına yardımcı olmak.

Genel olarak kimlik avı e-postalarıyla ilgili olarak araştırmacılar, kuruluşların bu saldırı vektöründen ödün verilmesini önlemek için dikkatli olmaları ve tüm çalışanlara yönelik periyodik farkındalık eğitimleri vermeleri gerektiğini tavsiye etti.

Longin, “Bazen büyük yazılım satıcıları bile güvenliği şüpheli olan varsayılan ayarları kullanıyor” diyor. “Düzenli güvenlik testleri [an organization’s] Mevcut saldırı yüzeyi hakkında bilgi edinmek ve ayrıca son zamanlardaki güvenlik açıklarını tespit etmek için kendi altyapınızı kullanmanız önemle tavsiye edilir.”





Source link