WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
Kỹ thuật tấn công SMTP mới cho phép tin tặc qua mặt biện pháp an ninh và giả mạo email
Một kỹ thuật khai thác mới nhắm vào Simple Mail Transfer Protocol (SMTP) bị tin tặc vũ khí hóa để gửi các email mạo danh với địa chỉ người gửi giả trong khi vẫn qua mặt được các biện pháp an ninh.
Theo các chuyên gia đến từ SEC Consult: “Kẻ xấu có thể lạm dụng lỗ hổng trong máy chủ SMTP trên toàn thế giới để gửi các email độc hại từ một địa chỉ email tùy ý đến các địa chỉ đã được nhắm mục tiêu.”
SMTP là giao thức TCP/IP được dùng để gửi và nhận các thông điệp thư điện tử qua mạng. Để chuyển tiếp thư từ ứng dụng email, một kết nối SMTP được thiết lập giữa máy khách và máy chủ.
Máy chủ sau đó dựa vào thành phần vận chuyển thư (Mail transfer agent – MTA) để kiểm tra miền địa chỉ email người nhận, nếu miền này khác với tên người gửi, nó sẽ truy vấn hệ thống tên miền (DNS) để tìm kiếm bản ghi mail exchanger (MX) đúng với tên miền của người nhận và hoàn thành việc trao đổi thư từ.
Lỗ hổng SMTP smuggling bắt nguồn từ việc không đồng nhất từ máy chủ SMTP gửi đi và gửi đến khi xử lý các chuỗi dữ liệu cuối khác nhau, cho phép kẻ xấu đột nhập vào dữ liệu thư, giả mạo các lệnh SMTP tùy ý và thậm chí gửi các email khác nhau.
Kỹ thuật này mượn từ một phương pháp tấn công quen thuộc có tên HTTP request smuggling, lợi dụng sự khác biệt trong việc biên dịch và xử lý tiêu đề HTTP “Content-Length” và “Transfer-Encoding” để thêm một truy vấn mập mờ vào chuỗi truy vấn đến.
Đặc biệt, kỹ thuật này đã khai thác các lỗ hổng an ninh trong máy chủ tin nhắn của Microsoft, GMX và Cisco để gửi hàng triệu email giả mạo các tên miền. Việc triển khai SMTP cũng bị ảnh hưởng từ Postfix và Sendmail. Điều này cho phép gửi các email giả mạo có vẻ từ người gửi hợp pháp và vượt qua được các biện pháp xác thực.
Trong khi GMX đã khắc phục sự cố, Cisco cho biết phát hiện này không phải là lỗ hổng mà là tính năng nên sẽ không thay đổi cấu hình mặc định. Để khắc phục, SEC Counsult khuyến cáo người dùng Cisco thay đổi các cài đặt của họ từ “Clean” thành “Allow” để tránh nhận các email giả mạo đã được kiểm tra là hợp lệ.
Theo các chuyên gia đến từ SEC Consult: “Kẻ xấu có thể lạm dụng lỗ hổng trong máy chủ SMTP trên toàn thế giới để gửi các email độc hại từ một địa chỉ email tùy ý đến các địa chỉ đã được nhắm mục tiêu.”
SMTP là giao thức TCP/IP được dùng để gửi và nhận các thông điệp thư điện tử qua mạng. Để chuyển tiếp thư từ ứng dụng email, một kết nối SMTP được thiết lập giữa máy khách và máy chủ.
Máy chủ sau đó dựa vào thành phần vận chuyển thư (Mail transfer agent – MTA) để kiểm tra miền địa chỉ email người nhận, nếu miền này khác với tên người gửi, nó sẽ truy vấn hệ thống tên miền (DNS) để tìm kiếm bản ghi mail exchanger (MX) đúng với tên miền của người nhận và hoàn thành việc trao đổi thư từ.
Lỗ hổng SMTP smuggling bắt nguồn từ việc không đồng nhất từ máy chủ SMTP gửi đi và gửi đến khi xử lý các chuỗi dữ liệu cuối khác nhau, cho phép kẻ xấu đột nhập vào dữ liệu thư, giả mạo các lệnh SMTP tùy ý và thậm chí gửi các email khác nhau.
Kỹ thuật này mượn từ một phương pháp tấn công quen thuộc có tên HTTP request smuggling, lợi dụng sự khác biệt trong việc biên dịch và xử lý tiêu đề HTTP “Content-Length” và “Transfer-Encoding” để thêm một truy vấn mập mờ vào chuỗi truy vấn đến.
Đặc biệt, kỹ thuật này đã khai thác các lỗ hổng an ninh trong máy chủ tin nhắn của Microsoft, GMX và Cisco để gửi hàng triệu email giả mạo các tên miền. Việc triển khai SMTP cũng bị ảnh hưởng từ Postfix và Sendmail. Điều này cho phép gửi các email giả mạo có vẻ từ người gửi hợp pháp và vượt qua được các biện pháp xác thực.
Trong khi GMX đã khắc phục sự cố, Cisco cho biết phát hiện này không phải là lỗ hổng mà là tính năng nên sẽ không thay đổi cấu hình mặc định. Để khắc phục, SEC Counsult khuyến cáo người dùng Cisco thay đổi các cài đặt của họ từ “Clean” thành “Allow” để tránh nhận các email giả mạo đã được kiểm tra là hợp lệ.
Theo The Hacker News