😊DigitalDanceDaily
Notícias Exibir por tópico AI? Jogos de Vídeo iPhone Android Apple Google Microsoft Hardware
😊DigitalDanceDaily

Contents

Falso! O esquema de contrabando de SMTP exposto

 included in Vulnerability News
   1100 words   6 minutes 

/images/SMTP-Smuggling-attacco-email-contraffatte-mittente-falsificato.jpg -Negócios -E-mail

Chama-se e-mails falsificados a técnica comumente usada para enviar e-mails falsificados que parecem vir de uma fonte diferente da real. Falsificar o endereço de e-mail do remetente é trivial e a prática pode ser explorada para fins maliciosos, como engano, phishing ou outros ataques cibernéticos. Para evitar serem enganados, usuários normais e softwares de segurança de computador podem usar métodos confiáveis ​​para descobrir de onde vem um e-mail e quem realmente o enviou.

Contrabando de SMTP: um ataque que prejudica o funcionamento dos servidores SMTP

Um grupo de pesquisadores da SEC Consult, já conhecido por ter descoberto outras fraquezas nos protocolos de comunicação que usamos todos os dias, relatou a vários fornecedores múltiplas vulnerabilidades de dia zero em suas respectivas implementações de SMTP.

Sigla para Simple Mail Transfer Protocol, SMTP é o protocolo utilizado para enviar mensagens de e-mail: nascido em 1981, ainda hoje é muito utilizado. Por exemplo, é necessário configurar os parâmetros em qualquer cliente de e-mail ou, no lado do servidor, para os componentes que enviam e-mails (pense em aplicações como Sendmail, Postfix, Microsoft Exchange Server, Dovecot, Exim, Qmail e assim por diante).

Especialistas apontam que o problema denominado Contrabando de SMTP é tudo menos teórico: pelo contrário, nos últimos meses envolveu a intervenção de todos os principais fornecedores que agiram para dar o seu contributo para a resolução.

/images/SMTP-Smuggling-attacco-falsificazione-mittente.png

A imagem é uma referência a um relatório da SEC Consult, intitulado “SMTP Smuggling – Spoofing E-Mails Worldwide”.

Envio de e-mails falsificados, que parecem ser completamente legítimos, de e para milhões de servidores SMTP vulneráveis

Resumindo, ao explorar algumas diferenças no gerenciamento do protocolo SMTP, um invasor pode enviar e-mails falsificados conseguindo ainda passar nas verificações de SPF (Sender Policy Framework). Como vimos quando explicamos porque os e-mails vão para a pasta de spam, SPF é uma das técnicas que ajuda a desmascarar qualquer falsificação por parte do remetente (e-mails falsificados).

O ataque SMTP Smuggling em questão permitiu o envio de e-mails falsificados de milhões de domínios (por exemplo, de contas como [email protected] ) para milhões de servidores SMTP receptores (por exemplo, Amazon, PayPal, eBay, bem como muitos outros fornecedores).

A SEC Consult explica que as vulnerabilidades identificadas nos servidores SMTP da Microsoft e GMX, por exemplo, foram prontamente corrigidas, mas existem muitos provedores em todo o mundo que ainda hoje estão expostos à técnica de contrabando de SMTP. Na verdade, todos aqueles que usam o produto em particular Cisco Secure Email , afetados pelo problema, são fortemente incentivados a corrigir suas configurações vulneráveis ​​o mais rápido possível.

FPS, DKIM e DMARC

Em nossos outros artigos falamos sobre os métodos que ajudam a verificar a autenticidade do remetente e a evitar que possíveis invasores enviem e-mails falsificados.

SPF é um mecanismo de autenticação de e-mail que permite verificar o remetente verificando os endereços IP autorizados por meio de registros SPF/TXT específicos no nível DNS. Para cada nome de domínio, o administrador pode, por exemplo, estabelecer os endereços IP autorizados para transferência de e-mail.

O problema do SPF é que ele verifica apenas o domínio especificado no campo MAIL FROM do “envelope” que contém o email, ignorando o campo From do cabeçalho, que pode ter um valor arbitrário.

DKIM (DomainKeys Identified Mail) é outro mecanismo de autenticação que permite assinar dados de mensagens, incluindo o cabeçalho From. A assinatura pode ser verificada pelo destinatário através de uma chave pública presente no DNS.

No final, DMARC (Autenticação, Relatório e Conformidade de Mensagens Baseadas em Domínio) fornece “alinhamento de identificador” para SPF e DKIM. O sistema verifica se o domínio “De” do e-mail está alinhado com as verificações SPF e/ou assinaturas DKIM. Se houver uma discrepância entre MAIL FROM e From, a verificação DMARC falhará.

Como funciona o ataque de contrabando de SMTP

No contexto do SMTP, existem dois servidores envolvidos, o de saída e o de entrada. Se os dois servidores interpretarem a sequência final de dados (. ), uma convenção usada no protocolo SMTP para indicar a conclusão de uma mensagem de e-mail, as consequências poderão ser desastrosas.

Se os servidores SMTP interpretarem de forma diferente onde termina a sequência de dados da mensagem, um invasor poderá estender sua ação além dos dados reais da mensagem de email, especificando comandos SMTP arbitrários. O problema pode até ser explorado para prosseguir com o envio de e-mails separados.

Aproveitando as diferenças nas implementações do protocolo SMTP, e este é o “ponto crucial” do problema, por exemplo, usando o . sequência como um possível encerramento dos dados da mensagem, um comportamento anômalo pode ser introduzido. Se um servidor não reconhecer a sequência, a conexão será mantida ativa aguardando o. sequência para chegar.

Uma interpretação incorreta da sequência de fim de dados pode, portanto, induzir o servidor SMTP vulnerável a avaliar o texto a seguir como comandos a serem executados, com riscos de segurança óbvios.

Impacto da vulnerabilidade

Ao descobrir a natureza extensa do problema, a equipe de engenharia da SEC Consult reconheceu imediatamente que um grande número de provedores de serviços de Internet eram suscetíveis ao desafio do contrabando de SMTP.

Através da manipulação de uma cadeia de dados específica, os atacantes conseguiram transmitir mensagens falsificadas através do sistema de e-mail confiável do fornecedor de serviços de telecomunicações pretendido para vários destinatários. Isto ilustrou o potencial para comunicações enganosas provenientes de uma fonte não autorizada e revelou vulnerabilidades em vários aplicativos de software usados ​​para lidar com o Simple Mail Transfer Protocol (SMTP).

Destacando o impacto global das vulnerabilidades, os investigadores sublinham a importância de intervir, por exemplo, no Cisco Secure Email, uma solução amplamente utilizada por vários fornecedores de email e serviços de email empresariais.

Para compreender a extensão do contrabando de SMTP, basta examinar sua trajetória histórica, conforme descrito na seção intitulada “Linha do tempo”. Este cronograma começou em junho de 2023 e termina no final deste ano, culminando com a divulgação da mecânica subjacente.

Como corrigir o problema com o Cisco Secure Email

No caso do Cisco Secure Email (Cloud) Gateway, por padrão, a configuração “Clean” permite o envio de emails falsificados usando sequências de fim de dados.. A solução é configurar o software para lidar com retornos de carro e alimentações de linha com segurança.

A configuração sugerida (Permitir) instrui o software Cisco a transmitir e-mails contendo retornos de carro ou feeds de linha diretamente para o servidor de e-mail principal. Esta ação é então interpretada pelo servidor como, eliminando efetivamente qualquer potencial de contrabando de SMTP.

Crédito da imagem de abertura: iStock.com/Sitthiphong

barra lateral inferior relacionada 300

*️⃣ Link da fonte:

SMTP Smuggling – Spoofing E-Mails Worldwide , parágrafo do título Timeline , Sitthiphong ,

Updated on 2023-12-22
Back | Home