Usando o contrabando, um e-mail pode ser dividido e os remetentes falsos contornam mecanismos de autenticação como SPF, DKIM e DMARC. Embora grandes empresas e provedores de serviços de e-mail Microsoft, GMX e Ionos tenham parado imediatamente de contrabandear, a Cisco continua a considerar o perigo uma grande função, de acordo com o BSI.
Em 18 de dezembro, a empresa de segurança cibernética SEC Consult divulgou informações sobre uma nova técnica de ataque usando “contrabando de protocolo de transferência de correio simples (SMTP). Com o contrabando de SMTP, os invasores aproveitam o fato de que diferentes implementações de SMTP interpretam a marcação do final de uma mensagem de e-mail de maneira diferente.
SPF, DKIM e DMARC desativados
Isso permite que você envie e-mails divididos em vários e-mails por um sistema de e-mail afetado. Dessa forma, são criados novos e-mails que utilizam remetentes falsos (spoofing), contornam mecanismos de autenticação como SPF, DKIM e DMARC ou não trazem mais avisos como sinalizador de spam na linha de assunto.
Ao explorar diferenças na interpretação de uma sequência entre servidores SMTP de entrada e de saída, os invasores podem enviar e-mails falsificados em nome de domínios confiáveis. Isso, por sua vez, permite uma ampla variedade de ataques de engenharia social ou de phishing. Um Uma explicação técnica detalhada do contrabando de SMTP é fornecida no artigo do blog publicado pela SEC Consult.
Todas as empresas consertam isso – apenas a Cisco considera isso um recurso
Como parte do processo de divulgação responsável da empresa, grandes empresas identificadas pela SEC Consult (Microsoft, Cisco, GMX/Ionos) com produtos e serviços de TI afetados foram informadas antes da publicação, a fim de dar à Microsoft e à GMX tempo suficiente para corrigir a vulnerabilidade. em seguida, protegeram seus serviços de e-mail contra o contrabando de SMTP. De acordo com a SEC Consult, a Cisco está mantendo
o problema encontrado no Cisco Secure Email (Cloud) Gateway (local/baseado em nuvem) para um recurso e não uma vulnerabilidade. O problema no Cisco Secure Email Gateway é o tratamento CR e LF (padrão) - isso permite mensagens com caracteres CR e LF e converte caracteres CR e LF em caracteres CRLF. Este comportamento permite o recebimento de e-mails falsos com DMARC válido.
O ponto fraco não reside nas normas subjacentes, mas na sua implementação muitas vezes inadequada. O ataque pode ser mitigado com comparativamente pouco esforço através de uma interpretação mais estrita de RFC5321 e RFC5322 e do uso do comando BDAT, no qual o remetente especifica explicitamente o tamanho dos dados.
BSI recomenda medidas para Cisco Secure Email
O BSI recomenda a instalação dos patches fornecidos e a garantia de que os sistemas de TI usados sejam configurados de modo que apenas identificadores finais compatíveis com RFC sejam suportados. Para o produto de TI (local/baseado em nuvem) Cisco Secure Email (Cloud) Gateway, a SEC Consult recomenda ajustar a configuração de manipulação de CR e LF para o comportamento “Permitir” para proteger contra ataques usando contrabando de SMTP.
O BSI já fornece informações sobre patches disponíveis e medidas de mitigação para usuários do sistema por meio do portal de serviços de alerta e informações (WID). Por exemplo, os desenvolvedores do Postfix fornecem instruções para uma solução alternativa. Pode-se presumir que os fabricantes de produtos de infraestrutura de e-mail anteriormente sem nome também publicarão soluções alternativas ou patches que resolverão o problema nos próximos dias.
Mais em BSI.Bund.de
Sobre o Escritório Federal de Segurança da Informação (BSI) O Escritório Federal de Segurança da Informação (BSI) é a autoridade federal de segurança cibernética e o criador da digitalização segura na Alemanha. A declaração de missão: O BSI, como autoridade federal de segurança cibernética, projeta segurança da informação na digitalização por meio de prevenção, detecção e resposta para o estado, negócios e sociedade.