Novou techniku zneužití protokolu SMTP (Simple Mail Transfer Protocol) mohou útočníci zneužít k odesílání podvržených e-mailů pod falešnými adresami odesílatelů a k obcházení bezpečnostních opatření.
“Aktéři mohou zneužít zranitelné servery SMTP po celém světě k odesílání škodlivých e-mailů z libovolných e-mailových adres, což umožňuje cílené phishingové útoky,” uvedl v analýze zveřejněné minulý měsíc Timo Longin, hlavní bezpečnostní konzultant společnosti SEC Consult.
Ilustrace příchozího a odchozího SMTP serveru při zneužití chyby (thehackernews.com)
Tato technika umožňuje odesílat falešné e-maily, které zdánlivě vypadají jako od legitimních odesílatelů, a překonat kontroly zavedené k zajištění pravosti příchozích zpráv – tj. DomainKeys Identified Mail (DKIM), Domain-based Message Authentication, Reporting and Conformance (DMARC) a Sender Policy Framework (SPF).
Server se spoléhá na takzvaného agenta pro přenos pošty (MTA), který zkontroluje doménu e-mailové adresy příjemce, a pokud se liší od domény odesílatele, požádá systém názvů domén (DNS) o vyhledání záznamu MX (Mail EXchanger) pro doménu příjemce a dokončí výměnu pošty.
SMTP je protokol TCP/IP používaný k odesílání a přijímání e-mailových zpráv v síti. Pro předání zprávy z e-mailového klienta (alias mail user agent) je mezi klientem a serverem navázáno spojení SMTP, které přenáší skutečný obsah e-mailu. Koncept této techniky je převzatý ze známé metody útoku označované jako HTTP Request Smuggling, která využívá nesrovnalostí v interpretaci a zpracování hlaviček HTTP Content-Length a Transfer-Encoding k přidání podvrženého požadavku do řetězce příchozích požadavků.
Podstata techniky SMTP Smuggling spočívá v nesrovnalostech, které vznikají, když odchozí a příchozí servery SMTP zpracovávají sekvence konce dat (end-of-data) odlišně. To potenciálně umožňuje aktérům vymanit se z dat zprávy, “propašovat” libovolné příkazy SMTP a dokonce odeslat samostatné e-maily.
SMTP Smuggling konkrétně zneužívá bezpečnostní chyby v serverech pro zasílání zpráv od společností Microsoft, GMX a Cisco k odesílání e-mailů z milionů podvržených domén. Ovlivněny jsou také implementace SMTP od společností Postfix a Sendmail.
Aktuálně zneužívaná technika SMTP Smuggling (thehackernews.com)
Zatímco společnosti Microsoft a GMX problémy odstranily, společnost Cisco uvedla, že tato zjištění nepředstavují “zranitelnost, ale vlastnost, a že nebude měnit výchozí konfiguraci”. Ve výchozí konfiguraci je proto stále možné pašování příchozího protokolu SMTP do instancí Cisco Secure Email.
Jako nápravu doporučuje SEC Consult uživatelům Cisco změnit nastavení z “Clean” na “Allow”, aby se vyhnuli přijímání podvržených e-mailů s platnými kontrolami DMARC.
Zdroj: thehackernews.com