密輸を使用すると、電子メールが分割され、偽の送信者が SPF、DKIM、DMARC などの認証メカニズムをバイパスする可能性があります。 BSI によると、大企業や電子メール サービス プロバイダーである Microsoft、GMX、Ionos は直ちに密輸を停止しましたが、Cisco は引き続き危険性を重要な機能であると考えています。
サイバーセキュリティ企業SEC Consultは18月XNUMX日、「Simple Mail Transfer Protocol(SMTP)密輸」を利用した新たな攻撃手法に関する情報を公開した。 SMTP 密輸では、攻撃者は、SMTP 実装が異なると電子メール メッセージの末尾のマークの解釈が異なるという事実を利用します。
SPF、DKIM、DMARCが無効になっている
これにより、影響を受ける電子メール システムによって複数の電子メールに分割された電子メールを送信できるようになります。このようにして、偽の送信者 (スプーフィング) を使用したり、SPF、DKIM、DMARC などの認証メカニズムをバイパスしたり、件名にスパム フラグなどの警告を含まない新しい電子メールが作成されます。
攻撃者は、送信 SMTP サーバーと受信 SMTP サーバー間のシーケンスの解釈の違いを利用して、信頼できるドメインに代わってなりすまし電子メールを送信できます。これにより、さまざまなソーシャル エンジニアリングやフィッシング攻撃が可能になります。 1つ SMTP 密輸の詳細な技術的説明は、SEC Consult が公開したブログ記事で提供されています。.
すべての企業がこれを修正しますが、これを機能とみなしているのは Cisco だけです
同社の責任ある開示プロセスの一環として、Microsoft と GMX に脆弱性を修正するのに十分な時間を与えるために、影響を受ける IT 製品および IT サービスを保有していると SEC Consult によって特定された大企業 (Microsoft、Cisco、GMX/Ionos) に対して公開前に通知を受けました。その後、SMTP 密輸から電子メール サービスを保護しました。 SEC Consult によると、Cisco は次のことを行っています。
(オンプレミス/クラウドベースの)Cisco Secure Email (Cloud) Gateway で見つかった問題は、脆弱性ではなく機能に関するものです。 Cisco Secure Email Gateway の問題は、(デフォルト)CR および LF の処理です。これにより、CR および LF 文字を含むメッセージが許可され、CR および LF 文字が CRLF 文字に変換されます。この動作により、有効な DMARC を含む偽の電子メールの受信が可能になります。
弱点は基礎となる標準にあるのではなく、その実装が不適切であることが多いことにあります。この攻撃は、RFC5321 および RFC5322 をより厳密に解釈し、送信者がデータ サイズを明示的に指定する BDAT コマンドを使用することで、比較的少ない労力で軽減できます。
BSI が Cisco Secure Email の対策を推奨
BSI は、提供されたパッチをインストールし、使用する IT システムが RFC 準拠のエンド識別子のみをサポートするように構成されていることを確認することを推奨しています。 IT 製品(オンプレミス/クラウドベース)Cisco Secure Email (Cloud) Gateway について、SEC Consult は、SMTP 密輸を使用した攻撃から保護するために、CR および LF 処理設定を「許可」動作に調整することを推奨しています。
BSI はすでに、警告および情報サービス ポータル (WID) を通じてシステム ユーザーに利用可能なパッチと軽減策に関する情報を提供しています。 たとえば、Postfix の開発者は回避策の手順を提供しています。。これまで名前のなかった電子メール インフラストラクチャ製品のメーカーも、数日以内に問題を解決する回避策やパッチを公開すると考えられます。
詳細は BSI.Bund.de をご覧ください
連邦情報セキュリティ局 (BSI) について 連邦情報セキュリティ局 (BSI) は、連邦のサイバー セキュリティ機関であり、ドイツにおける安全なデジタル化の設計者です。 ミッション ステートメント: BSI は、連邦のサイバー セキュリティ機関として、州、企業、社会の防止、検出、および対応を通じて、デジタル化における情報セキュリティを設計します。