Çok sayıda e-posta barındırma platformunda bulunan güvenlik açıklarını bir araya getiren üç yeni saldırı tekniği, tehdit aktörlerinin birden fazla e-postayı taklit etmesine olanak tanıyor. 20 milyon alan adı Güvenilir kuruluşların.
PayPal’daki birkaç güvenlik araştırmacısı tarafından keşfedilen kusurlar, saldırganların şunları kullanmasına olanak tanır: Basit posta aktarım protokolü (SMTP) kaçakçılığı SPF’yi (Gönderen İlke Çerçevesi), DKIM’i (Alan Anahtarlarıyla Tanımlanmış Posta) atlatmak ve DMARC (Alan Adı Tabanlı Mesaj Kimlik Doğrulaması, Raporlama ve Uygunluk) güvenlik protokolleri kötü amaçlı e-postalar göndermek saygın Fortune 500 şirketlerine ve devlet kurumlarına ait alan adlarından.
Bulgular arasında çok sayıda büyük e-posta servis sağlayıcısı tarafından kullanılan e-posta doğrulama süreçlerinde, özellikle alan adı kimlik doğrulama sorunları, yorum talebi (RFC) ihlalleri ve geçerli DKIM imzaları ile SPF kayıtlarının kötüye kullanımı gibi güvenlik açıkları yer alıyor.
E-posta Barındırma, Varsayılan Olarak Savunmasız
Araştırmacılar — Saldırı güvenliği kıdemli yöneticisi Hao Wang; Saldırı güvenliği mühendisi Caleb Sargent; ve baş tehdit tespit mühendisi Harrison Pomeroy — bu güvenlik açıklarının bir araya getirilmesinin yeni saldırı kalıplarını nasıl oluşturduğunu açıklamayı planlıyor bir oturumda Ağustos ayının ilk haftasında gerçekleşecek Black Hat USA konferansında “Gelen Kutusuna Doğru: Yeni E-posta Sahteciliği Saldırı Modelleri” başlığıyla bir konuşma yapılacak.
Ayrıca, 50’den fazla olabilecek etkilenen satıcıları da açıklayacaklar. Wang, gecikmenin sorumlu açıklama zaman çizelgesinden kaynaklandığını, çünkü araştırmacıların sorunların ele alınması için zaman tanıdığını söylüyor.
“Vurgulamak istediğimiz konu, e-posta ağ geçidi satıcılarının, SMTP kaçakçılığı Wang, Dark Reading’e verdiği bir röportajda, “varsayılan yapılandırmalarında” diyor. “Bu güvenlik açığı, özellikle büyük e-posta veya barındırma sağlayıcılarının giden SMTP sunucusunun birden fazla alan adına e-posta göndermesine izin veriliyorsa, önemli bir etkiye sahip olabilir.”
Bazı e-posta ağ geçidi satıcıları sahte e-postaları reddetmek ve böylece sorunu hafifletmek için bir ayar eklese de, bu özelliği etkinleştirmek yanlışlıkla meşru e-postaları engelleyebilir. “Sonuç olarak, birçok büyük müşteri varsayılan, savunmasız ayarı kullanmaya devam ediyor,” diyor ve saldırganların kötüye kullanması için geniş bir yol yaratıyor.
Yeni Saldırı Teknikleri
Ekibin araştırması, diğer araştırmacıların iki önceki çalışmasından ilham aldı: Marcello Salvati’nin DefCon 2023’te sunduğu “SpamChannel” konuşması ve yenilikçi bir SMTP kaçakçılığı saldırısı Wang, Aralık ayında Timo Longin tarafından tanıtıldığını söylüyor.
İlk saldırı tekniği SPF kötüye kullanımını içeriyor ve bunun nedeni, birçok büyük e-posta ve barındırma hizmeti sağlayıcısının e-posta gönderirken alan adlarını düzgün bir şekilde doğrulamaması ve bu durumun RFC gerekliliklerini ihlal etmesidir.
Wang, “Alan adları genellikle aşırı izin verici SPF kayıtlarına sahip oluyor ve bu da saldırganların SPF/DMARC güvenlik kontrollerini atlatıp sahte e-postalar göndermesine olanak tanıyor,” diyor ve saldırının çok sayıda etkilenen alan adı ve e-posta sahteciliğinin geniş kapsamı nedeniyle “yüksek bir başarı oranına” sahip olduğunu ekliyor.
İkinci saldırı modeli, büyük posta kutusu sağlayıcılarının geri bildirim döngüsü (FBL) özelliklerini kullanırken uygunsuz alan adı doğrulaması nedeniyle DKIM’i kötüye kullanıyor ve büyük ölçekli e-posta sahteciliği kampanyalarına olanak sağlıyor.
Üçüncü saldırı modeli ise genişleyen bir modeldir. Longin’in SMTP kaçakçılığı saldırısı keşif ve Black Hat USA oturumunda daha ayrıntılı olarak açıklanacaktır. Longin, saldırganların sahte gönderici adreslerine dayalı çok sayıda kötü amaçlı e-posta göndermek için savunmasız sunuculardaki SMTP’yi kullanabildiğini keşfetti mevcut kusurların istismarı Microsoft, GMX ve Cisco’nun mesajlaşma sunucularında.
Wang, “Saldırıların çoğu doğrudan yerinde SPF, DKIM ve DMARC kontrollerini atlatmıyor, bunun yerine etkilenen tedarikçiler tarafından yapılan yanlış yapılandırmaları ve tasarım kararlarını kullanıyor,” diyor. “Bu saldırıların sonucu, DMARC kontrolünden geçecek geçerli SPF ve DKIM kayıtlarına sahip e-postalar oluyor.”
SMTP Kaçakçılığının Tespiti ve Azaltılması
Araştırmacılar, oturumlarının bir parçası olarak, e-posta sunucularının birinin e-postasını gönderdiğinde eklediği Mesaj Kimliği tanımlayıcısını içeren SMTP kaçakçılığı saldırılarını tespit etmek için bir yöntem ortaya koymayı planlıyor. Yöntem, bir saldırganın kısa bir süre içinde tek bir SMTP bağlantısı üzerinden birden fazla e-posta göndermeye çalıştığında giden ve gelen SMTP sunucuları tarafından eklenen Mesaj Kimlikleri arasındaki farkı ilişkilendirir.
“Bu fark, özel tespit kurallarının geliştirilmesini sağlayarak bir SMTP kaçakçılığı saldırısının güçlü bir göstergesi olarak hizmet edecektir,” diyor Wang. “En azından, kuruluşlar bu tekniği bu tür saldırıları hafifletmek için telafi edici kontrollerinin bir parçası olarak dahil edebilirler.”
Gerçekten de, keşfedilen saldırı kalıpları izin verebilirken e-posta sahteciliği DMARC, DKIM ve SPF güvenlik kontrollerini atlatarak, araştırmacılar kuruluşların hala şiddetle şunları yapmasını öneriyor: bu önlemleri uygulamak Alan adları için temel bir güvenlik temeli olarak.
Wang, “Bu kontrollerin uygulanması, e-posta mesajlarının gerçekliğini doğrulamak için mekanizmalar sağlayarak e-posta güvenliğini önemli ölçüde artırıyor ve kimlik avı ve e-posta sahteciliği saldırılarının riskini azaltıyor” diyor.
Kuruluşların ayrıca, DMARC, DKIM ve SPF güvenlik kontrolleri aracılığıyla mesajları doğrulamanın yanı sıra, potansiyel sahtecilik ve kimlik avı e-postalarını daha etkili bir şekilde belirlemeye ve engellemeye yardımcı olan çok katmanlı bir yaklaşım için sezgisel ve içerik tabanlı analizlerden yararlanan e-posta filtreleme çözümlerini kullanmaları gerektiğini söylüyor.
Wang, tüm e-posta servis sağlayıcıları arasında kimlik doğrulama ve yetkilendirme için RFC standartlarının uygulanmasının “e-posta iletişimlerinin güvenliğini ve güvenilirliğini korumak ve e-posta tabanlı çeşitli saldırıları önlemek için de kritik öneme sahip olduğunu” sözlerine ekliyor.