Grâce à la contrebande, un e-mail peut être divisé et les faux expéditeurs contournent les mécanismes d'authentification tels que SPF, DKIM et DMARC. Alors que les grandes entreprises et les fournisseurs de services de messagerie Microsoft, GMX et Ionos ont immédiatement arrêté la contrebande, Cisco continue de considérer le danger comme une grande fonction, selon le BSI.
Le 18 décembre, la société de cybersécurité SEC Consult a publié des informations sur une nouvelle technique d'attaque utilisant le « Simple Mail Transfer Protocol (SMTP) Smuggling ». Avec la contrebande SMTP, les attaquants profitent du fait que différentes implémentations SMTP interprètent différemment le marquage de la fin d'un message électronique.
SPF, DKIM et DMARC désactivés
Cela vous permet d'envoyer des e-mails divisés en plusieurs e-mails par un système de messagerie concerné. De cette manière, de nouveaux e-mails sont créés qui utilisent de faux expéditeurs (usurpation d'identité), contournent les mécanismes d'authentification tels que SPF, DKIM et DMARC ou ne comportent plus d'avertissements tels qu'un indicateur de spam dans la ligne d'objet.
En exploitant les différences dans l'interprétation d'une séquence entre les serveurs SMTP sortants et entrants, les attaquants peuvent envoyer des e-mails usurpés au nom de domaines de confiance. Cela permet à son tour une grande variété d’attaques d’ingénierie sociale ou de phishing. Un Une explication technique détaillée de la contrebande SMTP est fournie dans l'article du blog publié par SEC Consult..
Toutes les entreprises le résolvent – seul Cisco le considère comme une fonctionnalité
Dans le cadre du processus de divulgation responsable de l'entreprise, les grandes entreprises identifiées par SEC Consult (Microsoft, Cisco, GMX/Ionos) avec des produits et services informatiques concernés ont été informées avant la publication afin de donner à Microsoft et GMX suffisamment de temps pour corriger la vulnérabilité. puis sécurisé leurs services de messagerie contre la contrebande SMTP. Selon SEC Consult, Cisco détient
le problème trouvé dans la passerelle Cisco Secure Email (Cloud) (sur site / basée sur le cloud) pour une fonctionnalité et non une vulnérabilité. Le problème dans Cisco Secure Email Gateway est la gestion (par défaut) des CR et LF - cela autorise les messages avec des caractères CR et LF et convertit les caractères CR et LF en caractères CRLF. Ce comportement permet la réception de faux emails avec un DMARC valide.
Le point faible ne réside pas dans les normes sous-jacentes, mais dans leur mise en œuvre souvent inadéquate. L'attaque peut être atténuée avec relativement peu d'effort grâce à une interprétation plus stricte des RFC5321 et RFC5322 et à l'utilisation de la commande BDAT, dans laquelle l'expéditeur spécifie explicitement la taille des données.
BSI recommande des mesures pour Cisco Secure Email
Le BSI recommande d'installer les correctifs fournis et de s'assurer que les systèmes informatiques utilisés sont configurés de manière à ce que seuls les identifiants de fin conformes à la RFC soient pris en charge. Pour le produit informatique (sur site / basé sur le cloud) Cisco Secure Email (Cloud) Gateway, SEC Consult recommande d'ajuster la configuration de gestion CR et LF au comportement « Autoriser » afin de se protéger contre les attaques utilisant la contrebande SMTP.
Le BSI fournit déjà des informations sur les correctifs disponibles et les mesures d'atténuation aux utilisateurs du système via le portail de services d'avertissement et d'information (WID). Par exemple, les développeurs de Postfix fournissent des instructions pour contourner ce problème.. On peut supposer que les fabricants de produits d’infrastructure de messagerie jusqu’alors inconnus publieront également des solutions de contournement ou des correctifs qui résoudront le problème dans les prochains jours.
Plus sur BSI.Bund.de
À propos de l'Office fédéral de la sécurité de l'information (BSI) L'Office fédéral de la sécurité de l'information (BSI) est l'autorité fédérale de cybersécurité et le concepteur de la numérisation sécurisée en Allemagne. L'énoncé de mission : Le BSI, en tant qu'autorité fédérale de cybersécurité, conçoit la sécurité de l'information dans la numérisation par la prévention, la détection et la réponse pour l'État, les entreprises et la société.