Баннер контрабанды SMTP
Несколько дней назад, Исследователи SEC Consult выяснили, через сообщение в блоге, информацию о новая техника атаки под названием SMTP Smuggling, который может позволить отправлять поддельные электронные письма в обход механизмов аутентификации.
Упоминается, что техника атаки нацелен на протокол SMTP, при котором злоумышленник может злоупотребить различиями в том, как исходящие и входящие SMTP-серверы интерпретируют последовательность, указывающую конец данных сообщения.
О SMTP-контрабанде
SMTP Smuggling — это новая технология, которая позволяет разделить сообщение на несколько разных сообщений при передаче SMTP-сервером оригинал на другой SMTP-сервер, который интерпретирует последовательность по-другому для отдельных букв, передаваемых по соединению.
Эсто позволяет внедрять команды SMTP в сообщения электронной почты таким образом, что принимающие серверы рассматривают их как два отдельных сообщения, одно из которых имеет несколько заголовков: «Кому: получатель@домен.com», «От: отправитель@домен.com», «Тема: пример темы», за которыми следуют по фактическому телу сообщения.
Кроме того, поскольку конверт основного сообщения успешно проходит такие проверки безопасности, как SPF, DKIM и DMARC, поддельное сообщение доставляется во входящие без предупреждений.
«SMTP Smuggling — это новый метод подделки электронной почты, который позволяет злоумышленникам отправлять электронные письма с поддельными адресами отправителя (например, ceo@microsoft.com), чтобы выдать себя за другое лицо», — рассказал Лонгин Dark Reading. «Обычно в инфраструктуре электронной почты есть некоторые меры по ограничению таких атак, но благодаря новому подходу поддельное электронное письмо будет доставлено».
Новая атака, получившая название SMTP-контрабанда, Его придумал Тимо Лонгин., старший консультант по безопасности в SEC Consult. Лонгин заимствовал основную концепцию из другой класс атак, известный как Контрабанда HTTP-запросов, когда злоумышленники обманом заставляют внешний балансировщик нагрузки или обратный прокси-сервер пересылать специально созданные запросы на внутренний сервер приложений таким образом, что внутренний сервер конечного сервера обрабатывает их как два отдельных запроса вместо одного.
Исходя из этого, SMTP Smuggling использует тот факт, что SMTP-серверы по-разному интерпретируют конец потока данных, что может привести к разделению одного письма на несколько в рамках одного сеанса на SMTP-сервере.
Эта последовательность за ним могут следовать команды для отправки другого сообщения без разрыва соединения. Некоторые SMTP-серверы строго следуют предписаниям, а другие — для обеспечения совместимости с некоторыми необычными почтовыми клиентами.
Атака сводится к тому, что первому серверу отправляется письмо, которое обрабатывает только разделитель "\r\n.\r\n", в теле которого есть альтернативный разделитель, например, "\ r.\r », за которым следуют команды, отправляющие второе сообщение. Поскольку первый сервер строго следует спецификации, он обрабатывает полученную строку как одну букву.
Если затем письмо будет отправлено на транзитный сервер или сервер-получатель, который также принимает последовательность «\r.\r» в качестве разделителя, оно будет обработано как два письма, отправленные отдельно (второе письмо может быть отправлено от имени пользователь не прошел аутентификацию через «AUTH LOGIN», но на стороне получателя отображается корректно).
Упоминается, что Проблема уже решена в последних версиях Postfix. в котором конфигурация «smtpd_forbid_unauth_pipelining", что приводит к сбою соединения, если разделители не соответствуют RFC 2920 и RFC 5321. Этот параметр отключен по умолчанию, но его планируют включить по умолчанию в ветке Postfix 3.9, которая ожидается в 2024 году.
Кроме того, была добавлена конфигурация smtpd_forbid_bare_newline, по умолчанию отключено, что запрещает использование символа перевода строки («\n») для разделения строк без возврата. Также добавлен параметр smtpd_forbid_bare_newline_exclusions, что позволяет отключить ограничение поддержки "\n" для клиентов в локальной сети.
На стороне Sendmail он предоставляет опцию «или» для защиты от атак в srv_features, которая позволяет обрабатывать только последовательность «\r\n.\r\n».
В конце концов если вам интересно узнать об этом больше, вы можете проверить подробности По следующей ссылке.