Une nouvelle technique d’exploitation appelée Simple Mail Transfer Protocol (SMTP) la contrebande peut être utilisée par des acteurs malveillants pour envoyer des e-mails falsifiés avec de fausses adresses d’expéditeur tout en contournant les mesures de sécurité.
« Les acteurs malveillants pourraient exploiter des serveurs SMTP vulnérables dans le monde entier pour envoyer des e-mails malveillants à partir d’adresses e-mail arbitraires, permettant ainsi des attaques de phishing ciblées », a déclaré Timo Longin, consultant senior en sécurité chez SEC Consult. dit dans une analyse publiée le mois dernier.
SMTP est un protocole TCP/IP utilisé pour envoyer et recevoir des messages électroniques sur un réseau. Pour relayer un message provenant d’un client de messagerie (alias agent utilisateur de messagerie), une connexion SMTP est établie entre le client et le serveur afin de transmettre le contenu réel de l’e-mail.
Le serveur s’appuie ensuite sur ce qu’on appelle un agent de transfert de courrier (MTA) pour vérifier le domaine de l’adresse e-mail du destinataire, et s’il est différent de celui de l’expéditeur, il interroge le système de noms de domaine (DNS) pour rechercher le domaine. Enregistrement MX (échangeur de courrier) pour le domaine du destinataire et finalisez l’échange de courrier.
Le nœud de la contrebande SMTP réside dans les incohérences qui surviennent lorsque les serveurs SMTP sortants et entrants gèrent différemment les séquences de fin de données, permettant potentiellement aux acteurs malveillants de s’extraire des données du message, de « faire passer » des commandes SMTP arbitraires et même d’envoyer des commandes SMTP séparées. e-mails.
Il emprunte le concept à une méthode d’attaque connue appelée contrebande de requêtes HTTP, qui profite des divergences dans l’interprétation et le traitement des en-têtes HTTP « Content-Length » et « Transfer-Encoding » pour ajouter une requête ambiguë à la requête entrante. chaîne.
Plus précisément, il exploite les failles de sécurité des serveurs de messagerie de Microsoft, GMX et Cisco pour envoyer des e-mails usurpant des millions de domaines. Les implémentations SMTP de Postfix et Sendmail sont également concernées.
Cela permet d’envoyer de faux e-mails qui semblent provenir d’expéditeurs légitimes et de contourner les contrôles en place pour garantir l’authenticité des messages entrants – c’est-à-dire, DomainKeys Identified Mail (DKIM), Authentification, reporting et conformité des messages basés sur le domaine (DMARC) et le cadre de politique de l’expéditeur (FPS).
Bien que Microsoft et GMX aient corrigé les problèmes, Cisco a déclaré que les résultats ne constituent pas une « vulnérabilité, mais une fonctionnalité et qu’ils ne modifieront pas la configuration par défaut ». Par conséquent, la contrebande SMTP entrante vers les instances Cisco Secure Email est toujours possible avec les configurations par défaut.
En guise de correctif, SEC Consult recommande aux utilisateurs de Cisco de modifier leurs paramètres de « Nettoyer » à « Autoriser » afin d’éviter de recevoir des e-mails usurpés avec des contrôles DMARC valides.