SMTP-smugglingsbanner
Några dagar sen, SEC Consult-forskare avslöjade, genom ett blogginlägg, information om en ny attackteknik som kallas SMTP-smuggling, som kan tillåta att skicka falska e-postmeddelanden som kringgår autentiseringsmekanismer.
Det nämns att attacktekniken riktar sig mot SMTP-protokollet, där en angripare kan missbruka skillnader i hur utgående och inkommande SMTP-servrar tolkar en sekvens som indikerar slutet på meddelandedata.
Om SMTP-smuggling
SMTP Smuggling är en ny teknik som gör det möjligt att dela upp ett meddelande i flera olika meddelanden när det överförs av SMTP-servern original till en annan SMTP-server, som tolkar sekvensen annorlunda än separata bokstäver som sänds över en anslutning.
detta tillåter injektion av SMTP-kommandon i e-postmeddelanden på ett sätt som gör att de mottagande servrarna behandlar dem som två separata meddelanden, varav ett har några rubriker: "Till: mottagare@domän.com", "Från: avsändare@domän.com", "Ämne: Exempelämne ", följt av själva meddelandets brödtext.
Dessutom, eftersom huvudmeddelandekuvertet klarar säkerhetskontroller som SPF, DKIM och DMARC, levereras det förfalskade meddelandet till inkorgar utan varningar.
"SMTP-smuggling är en ny e-postförfalskningsteknik som tillåter angripare att skicka e-postmeddelanden med falska avsändaradresser (t.ex. ceo@microsoft.com) för att utge sig för att vara någon annan", säger Longin till Dark Reading. "Det finns vanligtvis vissa begränsningar i e-postinfrastruktur för att begränsa sådana attacker, men med det nya tillvägagångssättet kommer ett falskt e-postmeddelande att levereras."
Den nya attacken, kallad SMTP-smuggling, Den kom på av Timo Longin, senior säkerhetskonsult på SEC Consult. Länge i lånade huvudkonceptet från en annan klass av attacker som kallas Smuggling av HTTP-förfrågningar, där angripare lurar en front-end belastningsbalanserare eller omvänd proxy att vidarebefordra specifikt utformade förfrågningar till en back-end applikationsserver på ett sätt där back-end av slutservern behandlar det som två separata förfrågningar istället för en .
Baserat på detta, SMTP Smuggling utnyttjar det faktum att SMTP-servrar tolkar slutet av dataströmmen olika, vilket kan göra att en bokstav delas upp i flera inom samma session på SMTP-servern.
Denna sekvens kan följas av kommandon för att skicka ett annat meddelande utan att bryta anslutningen. Vissa SMTP-servrar följer strikt receptet, men andra för att säkerställa kompatibilitet med vissa ovanliga e-postklienter.
Attacken handlar om att ett brev skickas till den första servern, som endast behandlar avgränsaren "\r\n.\r\n", i vars brödtext det finns en alternativ avgränsare, till exempel "\ r.\r », följt av kommandon som skickar ett andra meddelande. Eftersom den första servern strikt följer specifikationen, behandlar den den mottagna strängen som en enda bokstav.
Om brevet sedan skickas till en transitserver eller en mottagarserver som också accepterar sekvensen "\r.\r" som separator, kommer det att behandlas som två brev som skickas separat (det andra brevet kan skickas på uppdrag av en användaren inte autentiserad via "AUTH LOGIN", men visas korrekt på mottagarens sida).
Det nämns det Problemet har redan lösts i de senaste versionerna av Postfix där konfigurationen «smtpd_forbid_unauth_pipelining", vilket gör att anslutningen misslyckas om avgränsare inte överensstämmer med RFC 2920 och RFC 5321. Den här inställningen är inaktiverad som standard, men de planerar att aktivera den som standard i Postfix 3.9-grenen, förväntad 2024.
Dessutom lades konfigurationen till smtpd_forbid_bare_newline, inaktiverad som standard, vilket förbjuder användningen av radmatningstecknet ("\n") för att separera rader utan retur. Lade också till parametern smtpd_forbid_bare_newline_exclusions, som låter dig inaktivera begränsningen av "\n"-stöd för klienter på det lokala nätverket.
På Sendmail-sidan tillhandahåller den ett "eller"-alternativ för att skydda mot attacker i srv_features, vilket tillåter att endast bearbeta sekvensen "\r\n.\r\n".
Slutligen om du är intresserad av att veta mer om detkan du kontrollera detaljerna I följande länk.