Een nieuwe exploitatietechniek genaamd Simple Mail Transfer Protocol (SMTP)-smokkel kan door bedreigingsactoren worden bewapend om vervalste e-mails met valse afzenderadressen te verzenden terwijl de beveiligingsmaatregelen worden omzeild.
“Bedreigingsactoren kunnen kwetsbare SMTP-servers wereldwijd misbruiken om kwaadaardige e-mails vanaf willekeurige e-mailadressen te verzenden, waardoor gerichte phishing-aanvallen mogelijk zijn”, zei Timo Longin, een senior beveiligingsadviseur bij SEC Consult, in een analyse die vorige maand werd gepubliceerd.
SMTP is een TCP/IP-protocol dat wordt gebruikt voor het verzenden en ontvangen van e-mailberichten via een netwerk. Om een bericht van een e-mailclient (ook wel mail user agent genoemd) door te geven, wordt er een SMTP-verbinding tot stand gebracht tussen de client en de server om de daadwerkelijke inhoud van de e-mail te verzenden.
De server vertrouwt vervolgens op een zogenaamde mail transfer agent (MTA) om het domein van het e-mailadres van de ontvanger te controleren, en als dit anders is dan dat van de afzender, vraagt hij het domeinnaamsysteem (DNS) om de MX (mail-adres) op te zoeken. exchanger) record voor het domein van de ontvanger en voltooi de e-mailuitwisseling.
De kern van SMTP-smokkel is geworteld in de inconsistenties die ontstaan wanneer uitgaande en inkomende SMTP-servers anders omgaan met eindegegevensreeksen, waardoor bedreigingsactoren mogelijk uit de berichtgegevens kunnen ontsnappen, willekeurige SMTP-opdrachten kunnen ‘smokkelen’ en zelfs afzonderlijke berichten kunnen verzenden. e-mails.
Het ontleent het concept van een bekende aanvalsmethode die HTTP-verzoeksmokkel wordt genoemd en die misbruik maakt van discrepanties in de interpretatie en verwerking van de HTTP-headers “Content-Length” en “Transfer-Encoding” om een dubbelzinnig verzoek aan het inkomende verzoek te vooraf te stellen. ketting.
Het maakt met name gebruik van beveiligingsfouten in berichtenservers van Microsoft, GMX en Cisco om e-mails te verzenden die miljoenen domeinen spoofen. Ook beïnvloed zijn SMTP-implementaties van Postfix en Sendmail.
Dit maakt het verzenden van vervalste e-mails mogelijk die eruitzien alsof ze afkomstig zijn van legitieme afzenders en er zijn manipulatiecontroles ingesteld om de authenticiteit van inkomende berichten te garanderen – dat wil zeggen DomainKeys Identified Mail (DKIM), op domein gebaseerde berichtauthenticatie, rapportage en conformiteit (DMARC). ) en Sender Policy Framework (SPF).
Hoewel Microsoft en GMX de problemen hebben verholpen, zei Cisco dat de bevindingen geen “kwetsbaarheid vormen, maar een functie en dat ze de standaardconfiguratie niet zullen veranderen.” Als gevolg hiervan is inkomende SMTP-smokkel naar Cisco Secure Email-instanties nog steeds mogelijk met standaardconfiguraties.
Als oplossing raadt SEC Consult Cisco-gebruikers aan om hun instellingen te wijzigen van “Opschonen” naar “Toestaan” om te voorkomen dat ze vervalste e-mails ontvangen met geldige DMARC-controles.
