Uma nova técnica de exploração chamada contrabando de Protocolo de Transferência Simples de Correio (SMTP) pode ser usada por atores de ameaças para enviar e-mails falsificados com endereços de remetentes falsos, enquanto burlam medidas de segurança.
"Atores de ameaças podem abusar de servidores SMTP vulneráveis ao redor do mundo para enviar e-mails maliciosos de endereços de e-mails arbitrários, permitindo ataques de phishing direcionados", disse Timo Longin, consultor sênior de segurança da SEC Consult, em uma análise publicada no mês passado.
SMTP é um protocolo TCP/IP usado para enviar e receber mensagens de e-mail através de uma rede.
Para enviar uma mensagem de um cliente de e-mail (também conhecido como agente de usuário de e-mail), é estabelecida uma conexão SMTP entre o cliente e o servidor, a fim de transmitir o conteúdo real do e-mail.
O servidor então depende do que é chamado de agente de transferência de correio (MTA) para verificar o domínio do endereço de e-mail do destinatário, e se for diferente do do remetente, ele consulta o sistema de nomes de domínio (DNS) para buscar o registro MX (intercâmbio de correio) do domínio do destinatário e completar a troca de correio.
A essência do contrabando SMTP está enraizada nas inconsistências que surgem quando os servidores SMTP de saída e de entrada lidam com sequências de fim de dados de maneiras diferentes, permitindo potencialmente que atores de ameaças saiam dos dados da mensagem, "contrabandeiem" comandos SMTP arbitrários e até mesmo enviem e-mails separados.
Este método empresta o conceito de um método de ataque conhecido como contrabando de solicitação HTTP, que tira proveito das discrepâncias na interpretação e processamento dos cabeçalhos HTTP "Content-Length" e "Transfer-Encoding" para anexar uma solicitação ambígua à cadeia de solicitações de entrada.
Especificamente, explora falhas de segurança em servidores de mensagens da Microsoft, GMX e Cisco para enviar e-mails falsificando milhões de domínios.
As implementações de SMTP da Postfix e Sendmail também estão impactadas.
Isto permite o envio de e-mails forjados que aparentemente parecem ser originários de remetentes legítimos e vencer verificações feitas para garantir a autenticidade das mensagens recebidas - ou seja, o Correio Identificado pela DomainKeys (DKIM), Autenticação de Mensagem Baseada em Domínio, Relatório e Conformidade (DMARC) e o Quadro de Política do Remetente (SPF).
Embora Microsoft e GMX tenham corrigido os problemas, a Cisco disse que as descobertas não constituem uma "vulnerabilidade, mas um recurso e que eles não mudarão a configuração padrão".
Como resultado, o contrabando SMTP de entrada para instâncias de E-mail Seguro da Cisco ainda é possível com configurações padrão.
Como solução, a SEC Consult recomenda que os usuários da Cisco mudem suas configurações de "Limpar" para "Permitir", a fim de evitar o recebimento de e-mails falsificados com verificações DMARC válidas.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...