SMTP kontrabandos reklamjuostė
Prieš kelias dienas, SEC Consult mokslininkai atskleidė, per tinklaraščio įrašą, informacija apie nauja atakos technika, vadinama SMTP kontrabanda, kurie gali leisti siųsti netikrus el. laiškus, kurie apeina autentifikavimo mechanizmus.
Minima, kad puolimo technika skirtas SMTP protokolui, kuriame užpuolikas gali piktnaudžiauti skirtingais būdais, kaip išeinantys ir gaunami SMTP serveriai interpretuoja seką, nurodančią pranešimų duomenų pabaigą.
Apie SMTP kontrabandą
SMTP kontrabanda yra nauja technika, kuri leidžia padalinti pranešimą į kelis skirtingus pranešimus, kai jį perduoda SMTP serveris originalą į kitą SMTP serverį, kuris seką interpretuoja kitaip, nei atskiros raidės, perduodamos ryšiu.
tai leidžia įterpti SMTP komandas į el tokiu būdu, kad priimantys serveriai juos traktuotų kaip du atskirus pranešimus, kurių viena turi keletą antraščių: „Kam: gavėjas@domenas.com“, „Nuo: siuntėjas@domenas.com“, „Tema: temos pavyzdys “. pagal tikrąjį pranešimo turinį.
Be to, kadangi pagrindinis pranešimo vokas sėkmingai praeina saugumo patikras, tokias kaip SPF, DKIM ir DMARC, suklastotas pranešimas pristatomas į gautuosius be įspėjimų.
„SMTP kontrabanda – tai nauja el. pašto klastojimo technika, leidžianti užpuolikams siųsti el. laiškus su netikrais siuntėjo adresais (pvz., ceo@microsoft.com), kad galėtų apsimesti kuo nors kitu“, – „Dark Reading“ pasakoja Longinas. „Paprastai el. pašto infrastruktūroje yra tam tikrų švelninimo priemonių, kad būtų apribotos tokios atakos, tačiau taikant naują metodą bus pristatytas suklastotas el.
Naujoji ataka, vadinama SMTP kontrabanda, Jį sukūrė Timo Longinas, SEC Consult vyresnioji saugos konsultantė. Longinas pagrindinę sąvoką pasiskolino iš kita atakų klasė, žinoma kaip HTTP užklausų kontrabanda, kai užpuolikai apgaudinėja priekinę apkrovos balansavimo priemonę arba atvirkštinį tarpinį serverį ir persiunčia specialiai sukurtas užklausas į galinio programų serverį tokiu būdu, kai galutinio serverio galinis serveris apdoroja jas kaip dvi atskiras užklausas, o ne vieną .
Remiantis tuo, SMTP kontrabanda pasinaudoja tuo, kad SMTP serveriai skirtingai interpretuoja duomenų srauto pabaigą, todėl viena raidė gali būti padalinta į kelias toje pačioje sesijoje SMTP serveryje.
Ši seka gali sekti komandos išsiųsti kitą pranešimą nenutraukiant ryšio. Kai kurie SMTP serveriai griežtai laikosi nurodymų, bet kiti, kad užtikrintų suderinamumą su kai kuriomis neįprastomis el. pašto programomis.
Ataka susiveda į tai, kad laiškas siunčiamas į pirmąjį serverį, kuris apdoroja tik skyriklį „\r\n.\r\n“, kurio turinyje yra alternatyvus skyriklis, pavyzdžiui, „\ r.\r », po kurio eina komandos, kurios siunčia antrą pranešimą. Kadangi pirmasis serveris griežtai laikosi specifikacijų, gautą eilutę apdoroja kaip vieną raidę.
Jei laiškas siunčiamas į siuntimo serverį arba gavėjo serverį, kuris taip pat priima seką „\r.\r“ kaip skyriklį, jis bus apdorojamas kaip dvi atskirai siunčiamos raidės (antroji raidė gali būti siunčiama vartotojas nebuvo autentifikuotas naudojant „AUTH LOGIN“, bet gavėjo pusėje rodomas teisingas).
Minima, kad Problema jau išspręsta naujausiose „Postfix“ versijose kurioje konfigūracija «smtpd_forbid_unauth_pipelining“, dėl kurio nutrūksta ryšys, jei skyrikliai neatitinka RFC 2920 ir RFC 5321. Šis nustatymas išjungtas pagal numatytuosius nustatymus, bet planuojama jį įgalinti pagal numatytuosius nustatymus „Postfix 3.9“ šakoje, tikimasi 2024 m.
Be to, buvo pridėta konfigūracija smtpd_forbid_bare_newline, pagal numatytuosius nustatymus išjungta, o tai draudžia naudoti eilutės tiekimo simbolį („\n“), norint atskirti eilutes be grąžinimo. Taip pat pridėtas parametras smtpd_forbid_bare_newline_exclusions, kuri leidžia išjungti „\n“ palaikymo apribojimą klientams vietiniame tinkle.
„Sendmail“ pusėje ji suteikia galimybę „arba“ apsaugoti nuo atakų srv_features, kuri leidžia apdoroti tik seką „\r\n.\r\n“.
Pagaliau jei norite sužinoti daugiau apie tai, galite patikrinti išsamią informaciją Šioje nuorodoje.