Використовуючи контрабанду, електронний лист можна розділити, а фальшиві відправники обійти такі механізми автентифікації, як SPF, DKIM і DMARC. Хоча великі компанії та постачальники послуг електронної пошти Microsoft, GMX і Ionos негайно припинили контрабанду, Cisco продовжує вважати небезпеку великою функцією, згідно з BSI.
18 грудня компанія з кібербезпеки SEC Consult опублікувала інформацію про нову техніку атаки з використанням «контрабанди за допомогою простого протоколу передачі пошти (SMTP)». За допомогою контрабанди SMTP зловмисники користуються тим фактом, що різні реалізації SMTP по-різному інтерпретують позначку кінця повідомлення електронної пошти.
SPF, DKIM і DMARC вимкнено
Це дозволяє надсилати електронні листи, які уражена система електронної пошти розділила на кілька листів. Таким чином створюються нові електронні листи, які використовують фальшивих відправників (спуфінг), обходять механізми автентифікації, такі як SPF, DKIM і DMARC, або більше не містять попереджень, наприклад позначку спаму в темі.
Використовуючи відмінності в інтерпретації послідовності між вихідними та вхідними SMTP-серверами, зловмисники можуть надсилати підроблені електронні листи від імені довірених доменів. Це, у свою чергу, уможливлює широкий спектр атак соціальної інженерії та фішингу. Один Детальне технічне пояснення контрабанди SMTP наведено в статті блогу, опублікованій SEC Consult.
Усі компанії це виправляють – лише Cisco вважає це функцією
У рамках відповідального процесу розкриття інформації компанії, великі компанії, виявлені SEC Consult (Microsoft, Cisco, GMX/Ionos) з ураженими ІТ-продуктами та ІТ-послугами, були проінформовані до публікації, щоб дати Microsoft і GMX достатньо часу для усунення вразливості. потім захистили свої служби електронної пошти від контрабанди SMTP. За даними SEC Consult, Cisco тримає
проблема, виявлена в (локальному/хмарному) шлюзі Cisco Secure Email (Cloud) Gateway для функції, а не вразливості. Проблема в Cisco Secure Email Gateway полягає в обробці (за замовчуванням) CR і LF — це дозволяє надсилати повідомлення з символами CR і LF і перетворює символи CR і LF на символи CRLF. Така поведінка дозволяє отримувати підроблені електронні листи з дійсним DMARC.
Слабке місце полягає не в стандартах, що лежать в основі, а в їх часто неналежному впровадженні. Атаку можна пом’якшити порівняно невеликими зусиллями за допомогою суворішої інтерпретації RFC5321 і RFC5322 і використання команди BDAT, у якій відправник явно вказує розмір даних.
BSI рекомендує заходи для Cisco Secure Email
BSI рекомендує встановити надані патчі та переконатися, що використовувані ІТ-системи налаштовані таким чином, щоб підтримувалися лише RFC-сумісні кінцеві ідентифікатори. Для ІТ-продукту (локального/хмарного) Cisco Secure Email (Cloud) Gateway SEC Consult рекомендує налаштувати конфігурацію обробки CR і LF на поведінку «Дозволити», щоб захистити від атак із використанням контрабанди SMTP.
BSI вже надає інформацію про доступні виправлення та заходи пом’якшення для користувачів системи через портал попереджень та інформаційних служб (WID). Наприклад, розробники Postfix надають інструкції щодо обхідного шляху. Можна припустити, що виробники раніше неназваних продуктів інфраструктури електронної пошти також опублікують обхідні шляхи або виправлення, які вирішать проблему найближчими днями.
Більше на BSI.Bund.de
Про Федеральне відомство з інформаційної безпеки (BSI) Федеральне відомство з інформаційної безпеки (BSI) є федеральним органом з кібербезпеки та розробником безпечної цифровізації в Німеччині. Заява місії: BSI, як федеральний орган кібербезпеки, розробляє інформаційну безпеку в оцифровці шляхом запобігання, виявлення та реагування для держави, бізнесу та суспільства.