तस्करी का उपयोग करके, एक ईमेल को विभाजित किया जा सकता है और नकली प्रेषक एसपीएफ़, डीकेआईएम और डीएमएआरसी जैसे प्रमाणीकरण तंत्र को बायपास कर सकते हैं। बीएसआई के अनुसार, जहां बड़ी कंपनियों और ईमेल सेवा प्रदाताओं माइक्रोसॉफ्ट, जीएमएक्स और आयनोस ने तुरंत तस्करी बंद कर दी, वहीं सिस्को इस खतरे को एक महान कार्य मानता है।
18 दिसंबर को, साइबर सुरक्षा फर्म एसईसी कंसल्ट ने "सिंपल मेल ट्रांसफर प्रोटोकॉल (एसएमटीपी) स्मगलिंग" का उपयोग करके एक नई हमले तकनीक के बारे में जानकारी जारी की। एसएमटीपी तस्करी के साथ, हमलावर इस तथ्य का लाभ उठाते हैं कि विभिन्न एसएमटीपी कार्यान्वयन एक ईमेल संदेश के अंत के अंकन की अलग-अलग व्याख्या करते हैं।
एसपीएफ़, डीकेआईएम और डीएमएआरसी अक्षम
यह आपको ऐसे ईमेल भेजने की अनुमति देता है जो किसी प्रभावित ईमेल सिस्टम द्वारा कई ईमेल में विभाजित हो जाते हैं। इस तरह, नए ईमेल बनाए जाते हैं जो नकली प्रेषकों (स्पूफिंग) का उपयोग करते हैं, एसपीएफ़, डीकेआईएम और डीएमएआरसी जैसे प्रमाणीकरण तंत्र को बायपास करते हैं या अब विषय पंक्ति में स्पैम ध्वज जैसी चेतावनियां नहीं रखते हैं।
आउटगोइंग और इनकमिंग एसएमटीपी सर्वर के बीच अनुक्रम की व्याख्या में अंतर का फायदा उठाकर, हमलावर विश्वसनीय डोमेन की ओर से नकली ईमेल भेज सकते हैं। यह बदले में विभिन्न प्रकार के सोशल इंजीनियरिंग या फ़िशिंग हमलों को सक्षम बनाता है। एक एसईसी कंसल्ट द्वारा प्रकाशित ब्लॉग लेख में एसएमटीपी तस्करी की विस्तृत तकनीकी व्याख्या प्रदान की गई है.
सभी कंपनियाँ इसे ठीक करती हैं - केवल सिस्को ही इसे एक विशेषता मानती है
कंपनी की जिम्मेदार प्रकटीकरण प्रक्रिया के हिस्से के रूप में, प्रभावित आईटी उत्पादों और आईटी सेवाओं के साथ एसईसी कंसल्ट (माइक्रोसॉफ्ट, सिस्को, जीएमएक्स/आयनोस) द्वारा पहचानी गई बड़ी कंपनियों को प्रकाशन से पहले सूचित किया गया था ताकि माइक्रोसॉफ्ट और जीएमएक्स को भेद्यता को ठीक करने के लिए पर्याप्त समय मिल सके। फिर एसएमटीपी तस्करी के खिलाफ अपनी ईमेल सेवाओं को सुरक्षित किया। एसईसी कंसल्ट के अनुसार, सिस्को की पकड़ है
समस्या (ऑन-प्रिमाइसेस/क्लाउड-आधारित) सिस्को सिक्योर ईमेल (क्लाउड) गेटवे में एक सुविधा के लिए पाई गई, न कि किसी भेद्यता के लिए। सिस्को सिक्योर ईमेल गेटवे में समस्या (डिफ़ॉल्ट) सीआर और एलएफ हैंडलिंग है - यह सीआर और एलएफ वर्णों वाले संदेशों की अनुमति देता है और सीआर और एलएफ वर्णों को सीआरएलएफ वर्णों में परिवर्तित करता है। यह व्यवहार वैध DMARC के साथ नकली ईमेल प्राप्त करने की अनुमति देता है।
कमज़ोर बिंदु अंतर्निहित मानकों में नहीं, बल्कि अक्सर उनके अपर्याप्त कार्यान्वयन में निहित है। RFC5321 और RFC5322 की सख्त व्याख्या और BDAT कमांड के उपयोग के माध्यम से हमले को तुलनात्मक रूप से कम प्रयास से कम किया जा सकता है, जिसमें प्रेषक स्पष्ट रूप से डेटा आकार निर्दिष्ट करता है।
बीएसआई सिस्को सिक्योर ईमेल के लिए उपायों की सिफारिश करता है
बीएसआई प्रदान किए गए पैच को स्थापित करने और यह सुनिश्चित करने की सिफारिश करता है कि उपयोग किए गए आईटी सिस्टम कॉन्फ़िगर किए गए हैं ताकि केवल आरएफसी-अनुपालक अंतिम पहचानकर्ता समर्थित हों। आईटी उत्पाद (ऑन-प्रिमाइसेस/क्लाउड-आधारित) सिस्को सिक्योर ईमेल (क्लाउड) गेटवे के लिए, एसईसी कंसल्ट एसएमटीपी तस्करी का उपयोग करके हमलों से बचाने के लिए सीआर और एलएफ हैंडलिंग कॉन्फ़िगरेशन को "अनुमति" व्यवहार में समायोजित करने की सिफारिश करता है।
बीएसआई पहले से ही चेतावनी और सूचना सेवा पोर्टल (डब्ल्यूआईडी) के माध्यम से सिस्टम उपयोगकर्ताओं के लिए उपलब्ध पैच और शमन उपायों के बारे में जानकारी प्रदान करता है। उदाहरण के लिए, पोस्टफ़िक्स के डेवलपर्स वर्कअराउंड के लिए निर्देश प्रदान करते हैं. यह माना जा सकता है कि पहले से अनाम ईमेल इंफ्रास्ट्रक्चर उत्पादों के निर्माता आने वाले दिनों में समस्या का समाधान करने वाले वर्कअराउंड या पैच भी प्रकाशित करेंगे।
BSI.Bund.de पर अधिक
सूचना सुरक्षा के लिए संघीय कार्यालय (BSI) के बारे में सूचना सुरक्षा के लिए संघीय कार्यालय (BSI) संघीय साइबर सुरक्षा प्राधिकरण और जर्मनी में सुरक्षित डिजिटलीकरण का डिज़ाइनर है। मिशन वक्तव्य: बीएसआई, संघीय साइबर सुरक्षा प्राधिकरण के रूप में, राज्य, व्यापार और समाज के लिए रोकथाम, पहचान और प्रतिक्रिया के माध्यम से डिजिटलीकरण में सूचना सुरक्षा को डिजाइन करता है।