Твитнуть
В совместном исследовании Тимо Лонгина и компании SEC Consult была найдена новая разновидность атаки – SMTP Smuggling. С помощью этого метода злоумышленники могут отправлять жертвам электронные письма, подделывая адреса реальных пользователей и организаций. Это делается благодаря обходу проверки подлинности почты.
SMTP (Simple Mail Transfer Protocol) представляет собой протокол, позволяющий передавать электронные письма. С его помощью почтовые сервера направляют пользователям сообщения. Специалисты предполагают, что проблема, которую они обнаружили, позволяет хакерам обходить все виды проверок (SPF, DKIM и DMARC), благодаря различиям в обработке SMTP-серверами символов, указывающих на конец данных отправленного или полученного письма. В свою очередь, методы проверки подлинности почты, которые должны бороться со спамом и фишингом, анализируют заголовки писем, определяя, кем именно они отправлены. SMTP Smuggling позволяет обойти защиту внутри почтового протокола и избежать дальнейших проверок.
Исследователи установили, что атакующие могут подделывать адреса таких доменов, как Microsoft, Amazon, eBay, GitHub, Outlook, Office 365 и некоторые другие. При этом им удалось показать, что отправка писем с чужих адресов вполне возможна. В одном из примеров жертва получила письмо с адреса “admin@outlook[.]com”.
Почтовые провайдеры, системы которых были оценены как наиболее уязвимые, еще в июле были уведомлены о наличии проблемы с SMTP-серверами. Так, GMX устранила проблему в течение 10 дней, а Microsoft выпустила обновление с исправлениями настроек серверов в октябре. Cisco, в отличие от остальных провайдеров, заявила, что не видит у себя проблем и не собирается менять настройки почтовых серверов.
Команда SEC Consult отдельно отметила, что атака SMTP Smuggling позволяет обойти лишь проверку подлинности адресов, однако спам-фильтры все так же оценивают содержимое всего сообщения. При этом полагаться только на них не стоит. Специалисты указали, что почтовые сервисы должны уделить больше внимание безопасности клиентов.
Лонгин и его коллеги не берутся судить о масштабах проблемы, но объясняют, что обход протоколов проверки подлинности почты может использоваться в будущем все чаще, из-за чего данные миллионов пользователей окажутся под угрозой. По этой причине компаниям следует регулярно тестировать свои системы и повышать их безопасность.
SMTP (Simple Mail Transfer Protocol) представляет собой протокол, позволяющий передавать электронные письма. С его помощью почтовые сервера направляют пользователям сообщения. Специалисты предполагают, что проблема, которую они обнаружили, позволяет хакерам обходить все виды проверок (SPF, DKIM и DMARC), благодаря различиям в обработке SMTP-серверами символов, указывающих на конец данных отправленного или полученного письма. В свою очередь, методы проверки подлинности почты, которые должны бороться со спамом и фишингом, анализируют заголовки писем, определяя, кем именно они отправлены. SMTP Smuggling позволяет обойти защиту внутри почтового протокола и избежать дальнейших проверок.
Исследователи установили, что атакующие могут подделывать адреса таких доменов, как Microsoft, Amazon, eBay, GitHub, Outlook, Office 365 и некоторые другие. При этом им удалось показать, что отправка писем с чужих адресов вполне возможна. В одном из примеров жертва получила письмо с адреса “admin@outlook[.]com”.
Почтовые провайдеры, системы которых были оценены как наиболее уязвимые, еще в июле были уведомлены о наличии проблемы с SMTP-серверами. Так, GMX устранила проблему в течение 10 дней, а Microsoft выпустила обновление с исправлениями настроек серверов в октябре. Cisco, в отличие от остальных провайдеров, заявила, что не видит у себя проблем и не собирается менять настройки почтовых серверов.
Команда SEC Consult отдельно отметила, что атака SMTP Smuggling позволяет обойти лишь проверку подлинности адресов, однако спам-фильтры все так же оценивают содержимое всего сообщения. При этом полагаться только на них не стоит. Специалисты указали, что почтовые сервисы должны уделить больше внимание безопасности клиентов.
Лонгин и его коллеги не берутся судить о масштабах проблемы, но объясняют, что обход протоколов проверки подлинности почты может использоваться в будущем все чаще, из-за чего данные миллионов пользователей окажутся под угрозой. По этой причине компаниям следует регулярно тестировать свои системы и повышать их безопасность.