Kaçakçılık kullanılarak bir e-posta bölünebilir ve sahte gönderenler SPF, DKIM ve DMARC gibi kimlik doğrulama mekanizmalarını atlayabilir. Büyük şirketler ve e-posta servis sağlayıcıları Microsoft, GMX ve Ionos kaçakçılığı derhal durdururken, BSI'ya göre Cisco tehlikeyi büyük bir işlev olarak görmeye devam ediyor.
Siber güvenlik firması SEC Consult, 18 Aralık'ta "Basit Posta Aktarım Protokolü (SMTP) Kaçakçılığı"nı kullanan yeni bir saldırı tekniği hakkında bilgi yayınladı. SMTP kaçakçılığıyla saldırganlar, farklı SMTP uygulamalarının bir e-posta mesajının sonunun işaretini farklı şekilde yorumlamasından yararlanır.
SPF, DKIM ve DMARC devre dışı
Bu, etkilenen e-posta sistemi tarafından birden fazla e-postaya bölünmüş e-postalar göndermenize olanak tanır. Bu şekilde, sahte gönderenler kullanan (sahtekarlık), SPF, DKIM ve DMARC gibi kimlik doğrulama mekanizmalarını atlayan veya konu satırında artık spam bayrağı gibi uyarılar taşımayan yeni e-postalar oluşturulur.
Saldırganlar, giden ve gelen SMTP sunucuları arasındaki sıranın yorumlanmasındaki farklılıklardan yararlanarak, güvenilir alanlar adına sahte e-postalar gönderebilir. Bu da çok çeşitli sosyal mühendislik veya kimlik avı saldırılarına olanak tanır. Bir SEC Consult tarafından yayınlanan blog makalesinde SMTP kaçakçılığına ilişkin ayrıntılı bir teknik açıklama yer almaktadır..
Tüm şirketler bu sorunu düzeltiyor; yalnızca Cisco bunu bir özellik olarak görüyor
Şirketin sorumlu açıklama sürecinin bir parçası olarak, SEC Consult tarafından etkilenen BT ürünleri ve BT hizmetlerine sahip olduğu belirlenen büyük şirketler (Microsoft, Cisco, GMX/Ionos), Microsoft ve GMX'e güvenlik açığını düzeltmeleri için yeterli zaman tanınması amacıyla yayından önce bilgilendirildi. daha sonra e-posta hizmetlerini SMTP kaçakçılığına karşı güvence altına aldı. SEC Consult'a göre Cisco,
(şirket içi/bulut tabanlı) Cisco Güvenli E-posta (Bulut) Ağ Geçidinde bulunan sorun bir güvenlik açığından değil, bir özellikten kaynaklanmaktadır. Cisco Güvenli E-posta Ağ Geçidindeki sorun (varsayılan) CR ve LF kullanımıdır; bu, CR ve LF karakterleri içeren mesajlara izin verir ve CR ve LF karakterlerini CRLF karakterlerine dönüştürür. Bu davranış, geçerli DMARC'ye sahip sahte e-postaların alınmasına olanak tanır.
Zayıf nokta, temel standartlarda değil, çoğu zaman bunların yetersiz uygulanmasında yatmaktadır. Saldırı, RFC5321 ve RFC5322'nin daha katı bir şekilde yorumlanması ve gönderenin veri boyutunu açıkça belirttiği BDAT komutunun kullanılması yoluyla nispeten az bir çabayla hafifletilebilir.
BSI, Cisco Güvenli E-posta için önlemler öneriyor
BSI, sağlanan yamaların kurulmasını ve kullanılan BT sistemlerinin yalnızca RFC uyumlu uç tanımlayıcıların destekleneceği şekilde yapılandırıldığından emin olunmasını önerir. SEC Consult, BT ürünü (şirket içi / bulut tabanlı) Cisco Güvenli E-posta (Bulut) Ağ Geçidi için, SMTP kaçakçılığı kullanan saldırılara karşı koruma sağlamak amacıyla CR ve LF işleme yapılandırmasının "İzin Ver" davranışına ayarlanmasını önerir.
BSI, halihazırda uyarı ve bilgi hizmeti portalı (WID) aracılığıyla sistem kullanıcılarına mevcut yamalar ve etki azaltma önlemleri hakkında bilgi sağlıyor. Örneğin, Postfix'in geliştiricileri geçici bir çözüm için talimatlar sağlar. Daha önce adı açıklanmayan e-posta altyapı ürünleri üreticilerinin de önümüzdeki günlerde sorunu çözen geçici çözümler veya yamalar yayınlayacağı varsayılabilir.
BSI.Bund.de'de daha fazlası
Federal Bilgi Güvenliği Ofisi (BSI) hakkında Federal Bilgi Güvenliği Ofisi (BSI), federal siber güvenlik yetkilisidir ve Almanya'da güvenli sayısallaştırma tasarımcısıdır. Görev beyanı: Federal siber güvenlik otoritesi olarak BSI, devlet, iş dünyası ve toplum için önleme, tespit ve müdahale yoluyla dijitalleştirmede bilgi güvenliği tasarlar.