SMTP Kaçakçılığı Banner'ı
Birkaç gün önce, SEC Consult araştırmacıları açıkladı, bir blog yazısı aracılığıyla, hakkında bilgi SMTP Kaçakçılığı adı verilen yeni bir saldırı tekniği, kimlik doğrulama mekanizmalarını atlayan sahte e-postaların gönderilmesine izin verebilir.
Saldırı tekniğinden bahsediliyor SMTP Protokolünü hedeflerBir saldırganın, giden ve gelen SMTP sunucularının, mesaj verilerinin sonunu belirten bir diziyi yorumlama biçimi arasındaki farklılıkları kötüye kullanabileceği.
SMTP Kaçakçılığı Hakkında
SMTP Kaçakçılığı yeni bir tekniktir. SMTP sunucusu tarafından iletildiğinde bir mesajın birkaç farklı mesaja bölünmesine olanak tanır orijinali başka bir SMTP sunucusuna aktarır; bu sunucu, bir bağlantı üzerinden iletilen ayrı harflere göre sırayı farklı şekilde yorumlar.
bu SMTP komutlarının e-posta mesajlarına eklenmesine izin verir alıcı sunucuların bunları iki ayrı mesaj olarak ele almasını sağlayacak şekilde; bunlardan biri bazı başlıklara sahiptir: "Kime: alıcı@alanadi.com", "Kimden: gönderen@alanadi.com", "Konu: Örnek konu", ardından mesajın gerçek gövdesi tarafından.
Ayrıca ana mesaj zarfı SPF, DKIM ve DMARC gibi güvenlik kontrollerinden başarıyla geçtiği için sahte mesaj herhangi bir uyarı olmadan gelen kutularına teslim ediliyor.
Longin, Dark Reading'e "SMTP Kaçakçılığı, saldırganların başka birinin kimliğine bürünmek için sahte gönderen adresleriyle (örneğin ceo@microsoft.com) e-postalar göndermesine olanak tanıyan yeni bir e-posta sahtekarlığı tekniğidir" dedi. "Bu tür saldırıları sınırlamak için genellikle e-posta altyapısında bazı hafifletmeler vardır, ancak yeni yaklaşımla sahte e-postalar iletilecektir."
SMTP kaçakçılığı adı verilen yeni saldırı, Timo Longin tarafından tasarlandı, SEC Consult'ta kıdemli güvenlik danışmanı. Longin ana konsepti ödünç aldım olarak bilinen başka bir saldırı sınıfı HTTP istek kaçakçılığı, Saldırganların bir ön uç yük dengeleyiciyi kandırarak veya ters proxy'yi özel olarak hazırlanmış istekleri bir arka uç uygulama sunucusuna iletmesi ve uç sunucunun arka ucunun bunu bir yerine iki ayrı istek olarak işlemesi durumunda.
Buna dayanarak SMTP Kaçakçılığı SMTP sunucularının veri akışının sonunu farklı yorumlamasından yararlanırBu, SMTP sunucusunda aynı oturumda bir harfin birkaç harfe bölünmesine neden olabilir.
Bu sıra bağlantıyı kesmeden başka bir mesaj gönderme komutları takip edilebilir. Bazı SMTP sunucuları yönergeyi sıkı bir şekilde uygular, ancak diğerleri bazı yaygın olmayan e-posta istemcileriyle uyumluluğu sağlamak için çalışır.
Saldırı, gövdesinde yalnızca "\r\n.\r\n" sınırlayıcısını işleyen, örneğin "\" gibi alternatif bir sınırlayıcının bulunduğu ilk sunucuya bir mektubun gönderilmesinden ibarettir. r.\r », ardından ikinci bir mesaj gönderen komutlar gelir. İlk sunucu spesifikasyona sıkı bir şekilde uyduğu için alınan dizeyi tek bir harf olarak işler.
Mektup daha sonra ayırıcı olarak "\r.\r" dizisini de kabul eden bir transit sunucusuna veya alıcı sunucusuna gönderilirse, ayrı ayrı gönderilen iki harf olarak işlenecektir (ikinci harf bir kişi adına gönderilebilir). Kullanıcının kimliği "AUTH LOGIN" aracılığıyla doğrulanmadı ancak alıcı tarafında doğru görünüyor).
Bundan bahsediliyor Sorun Postfix'in son sürümlerinde zaten çözüldü burada konfigürasyon «smtpd_forbid_unauth_pipelining", sınırlayıcıların RFC 2920 ve RFC 5321 ile uyumlu olmaması durumunda bağlantının başarısız olmasına neden olur. Bu ayar varsayılan olarak devre dışıdır ancak 3.9'te beklendiği gibi Postfix 2024 dalında varsayılan olarak etkinleştirmeyi planlamaktadırlar.
Ayrıca konfigürasyon eklendi smtpd_forbid_bare_newline, varsayılan olarak devre dışıdır; bu, satırları dönüş olmadan ayırmak için satır besleme karakterinin ("\n") kullanılmasını yasaklar. Ayrıca parametre eklendi smtpd_forbid_bare_newline_exclusionsBu, yerel ağdaki istemciler için "\n" desteğinin kısıtlamasını devre dışı bırakmanıza olanak tanır.
Sendmail tarafında, srv_features'daki saldırılara karşı koruma sağlamak için yalnızca "\r\n.\r\n" dizisinin işlenmesine izin veren bir 'veya' seçeneği sunar.
Nihayet onun hakkında daha fazla bilgi edinmekle ilgileniyorsanayrıntıları kontrol edebilirsiniz Aşağıdaki bağlantıda.