SMTP-smokkel, een techniek waarmee u valse e-mails kunt verzenden

Darkcrizt

3 minuten

SMTP-smokkel

SMTP-smokkelbanner

Paar dagen geleden, Onderzoekers van SEC Consult hebben dit onthuld, via een blogpost, informatie over een nieuwe aanvalstechniek genaamd SMTP Smokkel, waarmee valse e-mails kunnen worden verzonden die authenticatiemechanismen omzeilen.

Er wordt vermeld dat de aanvalstechniek richt zich op het SMTP-protocol, waarin een aanvaller misbruik kan maken van verschillen in de manier waarop uitgaande en inkomende SMTP-servers een reeks interpreteren die het einde van berichtgegevens aangeeft.

Over SMTP-smokkel

SMTP-smokkel is een nieuwe techniek die maakt het mogelijk een bericht in verschillende berichten te splitsen wanneer het door de SMTP-server wordt verzonden origineel naar een andere SMTP-server, die de reeks anders interpreteert dan afzonderlijke letters die via een verbinding worden verzonden.

deze maakt injectie van SMTP-opdrachten in e-mailberichten mogelijk op een manier waardoor de ontvangende servers ze als twee afzonderlijke berichten behandelen, waarvan er één enkele headers heeft: “Aan: ontvanger@domein.com”, “Van: afzender@domein.com”, “Onderwerp: Voorbeeldonderwerp”, gevolgd door de feitelijke inhoud van het bericht.

Omdat de envelop van het hoofdbericht bovendien met succes veiligheidscontroles zoals SPF, DKIM en DMARC doorstaat, wordt het vervalste bericht bovendien zonder waarschuwingen in de inbox afgeleverd.

"SMTP-smokkel is een nieuwe e-mailspoofingtechniek waarmee aanvallers e-mails kunnen verzenden met valse afzenderadressen (bijvoorbeeld ceo@microsoft.com) om zich voor te doen als iemand anders", vertelt Longin aan Dark Reading. "Normaal gesproken zijn er enkele maatregelen in de e-mailinfrastructuur om dergelijke aanvallen te beperken, maar met de nieuwe aanpak zal er een vervalste e-mail worden afgeleverd."

De nieuwe aanval, genaamd SMTP-smokkel, Het is bedacht door Timo Longin, senior beveiligingsadviseur bij SEC Consult. Lang in heeft het hoofdconcept geleend een andere klasse van aanvallen bekend als Smokkelen van HTTP-verzoeken, waarbij aanvallers een front-end load balancer of reverse proxy misleiden om specifiek vervaardigde verzoeken door te sturen naar een back-end-applicatieserver op een manier waarbij de back-end van de eindserver deze verwerkt als twee afzonderlijke verzoeken in plaats van één.

Op basis hiervan is SMTP-smokkel maakt gebruik van het feit dat SMTP-servers het einde van de datastroom anders interpreteren, waardoor een letter binnen dezelfde sessie op de SMTP-server in meerdere kan worden opgesplitst.

Deze volgorde kan worden gevolgd door opdrachten om nog een bericht te verzenden zonder de verbinding te verbreken. Sommige SMTP-servers volgen strikt het voorschrift, maar andere om compatibiliteit met een aantal ongebruikelijke e-mailclients te garanderen.

De aanval komt erop neer dat een brief naar de eerste server wordt gestuurd, die alleen het scheidingsteken "\r\n.\r\n" verwerkt, in de hoofdtekst waarvan zich een alternatief scheidingsteken bevindt, bijvoorbeeld "\ r.\r », gevolgd door opdrachten die een tweede bericht verzenden. Omdat de eerste server de specificatie strikt volgt, verwerkt deze de ontvangen string als één enkele letter.

Als de brief vervolgens naar een transitserver of een ontvangende server wordt verzonden die ook de reeks "\r.\r" als scheidingsteken accepteert, wordt deze verwerkt als twee afzonderlijk verzonden brieven (de tweede brief kan worden verzonden namens een gebruiker niet geverifieerd via "AUTH LOGIN", maar lijkt correct aan de kant van de ontvanger).

Er wordt gezegd dat In de nieuwste versies van Postfix is ​​het probleem al opgelost waarin de configuratie «smtpd_forbid_unauth_pipelining", waardoor de verbinding mislukt als scheidingstekens niet voldoen aan RFC 2920 en RFC 5321. Deze instelling is standaard uitgeschakeld, maar ze zijn van plan deze standaard in te schakelen in de Postfix 3.9-vertakking, verwacht in 2024.

Bovendien is de configuratie toegevoegd smtpd_forbid_bare_newline, standaard uitgeschakeld, wat het gebruik van het regelinvoerteken ("\n") verbiedt om regels te scheiden zonder return. Ook de parameter toegevoegd smtpd_forbid_bare_newline_exclusions, waarmee u de beperking van "\n"-ondersteuning voor clients op het lokale netwerk kunt uitschakelen.

Aan de Sendmail-kant biedt het een 'of'-optie om te beschermen tegen aanvallen in srv_features, waardoor alleen de reeks "\r\n.\r\n" kan worden verwerkt.

Eindelijk als u er meer over wilt weten, kunt u de details bekijken In de volgende link.


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: AB Internet Networks 2008 SL
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.