Per Smuggling lässt sich eine E-Mail aufspalten und umgeht so samt gefälschten Absendern die Authentifizierungsmechanismen, wie SPF, DKIM und DMARC. Während große Unternehmen und E-Mail-Service-Anbieter Microsoft, GMX oder Ionos sofort das Smuggling unterbunden haben, hält Cisco die Gefahr laut BSI weiter für eine tolle Funktion.
Am 18. Dezember veröffentlichte das Cybersicherheitsunternehmen SEC Consult Informationen zu einer neuen Angriffstechnik mittels “Simple Mail Transfer Protocol (SMTP) Smuggling”. Beim SMTP Smuggling machen sich die Angreifenden zunutze, dass verschiedene SMTP-Implementierungen die Kennzeichnung des Endes einer E-Mail-Nachricht unterschiedlich interpretieren.
SPF, DKIM und DMARC ausgehebelt
Sie können so E-Mails versenden, die durch ein betroffenes E-Mail-System in mehrere E-Mails aufgespalten werden. Auf diesem Weg entstehen neue E-Mails, die gefälschte Absender nutzen (Spoofing), Authentifizierungsmechanismen, wie SPF, DKIM und DMARC umgehen oder Warnungen, wie z.B. eine Spam-Markierung in der Betreffzeile, nicht mehr tragen.
Durch die Ausnutzung von Unterschieden in der Interpretation einer Sequenz zwischen ausgehenden und eingehenden SMTP-Servern können Angreifende gefälschte E-Mails im Namen vertrauenswürdiger Domänen versenden. Dies ermöglicht wiederum verschiedenste Social Engineering- bzw. Phishing-Angriffe. Eine detaillierte technische Erklärung von SMTP Smuggling liefert der von SEC Consult veröffentlichte Blogartikel.
Alle Unternehmen fixen – nur Cisco hält es für eine Funktion
Im Rahmen des Responsible Disclosure Prozesses des Unternehmens wurden durch SEC Consult identifizierte Großunternehmen (Microsoft, Cisco, GMX/Ionos) mit betroffenen IT-Produkten und IT-Services, vor der Veröffentlichung informiert, um ausreichend Zeit zur Behebung der Schwachstelle zu haben Microsoft und GMX haben daraufhin ihre Maildienste vor SMTP Smuggling abgesichert. Cisco hält laut SEC Consult
das gefundene Problem in (on-prem / cloud-basiert) Cisco Secure Email (Cloud) Gateway für ein Feature und keine Schwachstelle. Das Problem in Cisco Secure Email Gateway ist das (standardmäßige) CR and LF Handling – dies erlaubt Nachrichten mit CR und LF Zeichen und konvertiert CR und LF Zeichen zu CRLF Zeichen. Dieses Verhalten erlaubt den Empfang von gefälschten Mails mit validem DMARC.
Die Schwachstelle besteht nicht in den zugrunde liegenden Standards, sondern in der oftmals unzureichenden Implementierung der selbigen. Der Angriff ist mit vergleichsweise geringem Aufwand durch eine striktere Interpretation der RFC5321 und RFC5322 sowie der Nutzung des BDAT-Kommandos, bei welchem der Sender die Datengröße explizit angibt, mitigierbar.
BSI empfiehlt Maßnahmen für Cisco Secure Email
Das BSI empfiehlt, bereitgestellte Patches einzuspielen und sicherzustellen, dass genutzte IT-Systeme so konfiguriert sind, dass nur RFC-konforme Ende-Kennzeichnungen unterstützt werden. Für das IT-Produkt (on-prem / cloud-basiert) Cisco Secure Email (Cloud) Gateway empfiehlt SEC Consult eine Anpassung der CR and LF Handling Konfiguration auf das Verhalten “Allow”, um sich vor Angriffen mittels SMTP-Smuggling zu schützen.
Das BSI informiert bereits über das Warn- und Informationsdienstportal (WID) über bereitstehende Patches bzw. Mitigationsmaßnahmen für Systemanwendende. So stellen bspw. die Entwickler von Postfix eine Anleitung für einen Workaround bereit. Es ist davon auszugehen, dass auch Hersteller von bislang nicht genannten E-Mailinfrastruktur-Produkten in den kommenden Tagen Workarounds oder Patches veröffentlichen, die das Problem lösen.
Mehr bei BSI.Bund.de
Über das Bundesamt für Sicherheit in der Informationstechnik (BSI) Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cyber-Sicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland. Das Leitbild: Das BSI als die Cyber-Sicherheitsbehörde des Bundes gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.