PurpleBear
@purple_medved
SMTP Smuggling
Давно мы уже не рассматривали новые уязвимости, поэтому в сегодняшней заметке речь пойдет про SMTP Smuggling.
Тем более это не просто очередная CVE, а фактически новый вид атаки на протокол SMTP, которая позволяет спуфить адрес отправителя при рассылке фишинговых сообщений.
Согласно опубликованному исследованию SEC Consult Vulnerability Lab реализация атаки позволяет отправлять письма с любого адреса, обходя механизмы безопасности SPF, DKIM и DMARC, которые призваны обеспечить проверку аутентификации отправителя.
Суть атаки заключается в разнице имплементации протокола SMTP, когда outbound (отправитель) и inbound (получатель) SMTP серверы некорректно обрабатывают."?(Carriage-Return\Line-Feed aka \r\n.\r\n) в Message data, т.е тексте сообщения. Таким образом если отправить . т.е \n.\r\n некоторые inbound SMTP интерпретируют это не как конец сообщения и позволяет отправить следующее сообщение от адреса другого отправителя в заголовке FROM, а так как SMTP сессия уже установлена, проверка аутентификации теперь не требуется.
Другими словами мы можем отправить письмо от имени любого пользователя почтового сервера в обход DKIM, DMARC и спам фильтров. То же самое работает если мы отправляем smugglеd сообщение с уязвимого outbound SMTP сервера в обход SPF, причем даже автоматически подтянется валидная картинка профиля (profile picture) заспуфленного почтового аккаунта.??
Оказывается в интернете миллионы уязвимых к атаке SMTP Smuggling почтовых серверов разных компаний использующих Postfix и Sendmail, в том числе крупных публичных почтовых сервисов outlook.com, gmx.net и пр. Авторы исследования приложили максимум усилий для responsible disclosure уязвимости, но например в Cisco Secure Email Cloud Gateway багу не оценили, назвали "фичей" и патчить отказались...а этот софт использует 40k почтовых доменов, включая amazon, cisco, paypal, ebay и даже irs.gov ??
Таким образом, получилась очень интересная бага, отличный подробный райтап процесса исследования и крутейший пример того как можно найти новые баги в SMTP даже в 2023 году??
Давно мы уже не рассматривали новые уязвимости, поэтому в сегодняшней заметке речь пойдет про SMTP Smuggling.
Тем более это не просто очередная CVE, а фактически новый вид атаки на протокол SMTP, которая позволяет спуфить адрес отправителя при рассылке фишинговых сообщений.
Согласно опубликованному исследованию SEC Consult Vulnerability Lab реализация атаки позволяет отправлять письма с любого адреса, обходя механизмы безопасности SPF, DKIM и DMARC, которые призваны обеспечить проверку аутентификации отправителя.
Суть атаки заключается в разнице имплементации протокола SMTP, когда outbound (отправитель) и inbound (получатель) SMTP серверы некорректно обрабатывают
Другими словами мы можем отправить письмо от имени любого пользователя почтового сервера в обход DKIM, DMARC и спам фильтров. То же самое работает если мы отправляем smugglеd сообщение с уязвимого outbound SMTP сервера в обход SPF, причем даже автоматически подтянется валидная картинка профиля (profile picture) заспуфленного почтового аккаунта.??
Оказывается в интернете миллионы уязвимых к атаке SMTP Smuggling почтовых серверов разных компаний использующих Postfix и Sendmail, в том числе крупных публичных почтовых сервисов outlook.com, gmx.net и пр. Авторы исследования приложили максимум усилий для responsible disclosure уязвимости, но например в Cisco Secure Email Cloud Gateway багу не оценили, назвали "фичей" и патчить отказались...а этот софт использует 40k почтовых доменов, включая amazon, cisco, paypal, ebay и даже irs.gov ??
Таким образом, получилась очень интересная бага, отличный подробный райтап процесса исследования и крутейший пример того как можно найти новые баги в SMTP даже в 2023 году??
? 4
? 2
? 1
48 1.4K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram