Contrabando SMTP: Nova Falha Permite que Atacantes Contornem a Segurança e Falsifiquem Emails
3 de Janeiro de 2024

Uma nova técnica de exploração chamada contrabando de Protocolo de Transferência Simples de Correio (SMTP) pode ser usada por atores de ameaças para enviar e-mails falsificados com endereços de remetentes falsos, enquanto burlam medidas de segurança.

"Atores de ameaças podem abusar de servidores SMTP vulneráveis ao redor do mundo para enviar e-mails maliciosos de endereços de e-mails arbitrários, permitindo ataques de phishing direcionados", disse Timo Longin, consultor sênior de segurança da SEC Consult, em uma análise publicada no mês passado.

SMTP é um protocolo TCP/IP usado para enviar e receber mensagens de e-mail através de uma rede.

Para enviar uma mensagem de um cliente de e-mail (também conhecido como agente de usuário de e-mail), é estabelecida uma conexão SMTP entre o cliente e o servidor, a fim de transmitir o conteúdo real do e-mail.

O servidor então depende do que é chamado de agente de transferência de correio (MTA) para verificar o domínio do endereço de e-mail do destinatário, e se for diferente do do remetente, ele consulta o sistema de nomes de domínio (DNS) para buscar o registro MX (intercâmbio de correio) do domínio do destinatário e completar a troca de correio.

A essência do contrabando SMTP está enraizada nas inconsistências que surgem quando os servidores SMTP de saída e de entrada lidam com sequências de fim de dados de maneiras diferentes, permitindo potencialmente que atores de ameaças saiam dos dados da mensagem, "contrabandeiem" comandos SMTP arbitrários e até mesmo enviem e-mails separados.

Este método empresta o conceito de um método de ataque conhecido como contrabando de solicitação HTTP, que tira proveito das discrepâncias na interpretação e processamento dos cabeçalhos HTTP "Content-Length" e "Transfer-Encoding" para anexar uma solicitação ambígua à cadeia de solicitações de entrada.

Especificamente, explora falhas de segurança em servidores de mensagens da Microsoft, GMX e Cisco para enviar e-mails falsificando milhões de domínios.

As implementações de SMTP da Postfix e Sendmail também estão impactadas.

Isto permite o envio de e-mails forjados que aparentemente parecem ser originários de remetentes legítimos e vencer verificações feitas para garantir a autenticidade das mensagens recebidas - ou seja, o Correio Identificado pela DomainKeys (DKIM), Autenticação de Mensagem Baseada em Domínio, Relatório e Conformidade (DMARC) e o Quadro de Política do Remetente (SPF).

Embora Microsoft e GMX tenham corrigido os problemas, a Cisco disse que as descobertas não constituem uma "vulnerabilidade, mas um recurso e que eles não mudarão a configuração padrão".

Como resultado, o contrabando SMTP de entrada para instâncias de E-mail Seguro da Cisco ainda é possível com configurações padrão.

Como solução, a SEC Consult recomenda que os usuários da Cisco mudem suas configurações de "Limpar" para "Permitir", a fim de evitar o recebimento de e-mails falsificados com verificações DMARC válidas.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...