.png)
SMTP Kaçakçılığı: Yeni Kusur, Saldırganların Güvenliği Atlamasına ve E-postaları Taklit Etmesine İzin Veriyor
Basit Posta Aktarım Protokolü (SMTP) kaçakçılığı adı verilen yeni bir istismar tekniği, güvenlik önlemlerini atlarken sahte gönderen adresleriyle sahte e-postalar göndermek için tehdit aktörleri tarafından silah haline getirilebilir.
SEC Consult'ta kıdemli bir güvenlik danışmanı olan Timo Longin, geçen ay yayınlanan bir analizde, "Tehdit aktörleri, rastgele e-posta adreslerinden kötü amaçlı e-postalar göndermek için dünya çapındaki savunmasız SMTP sunucularını kötüye kullanabilir ve hedefli kimlik avı saldırılarına izin verebilir" dedi.
SMTP, bir ağ üzerinden e-posta mesajları göndermek ve almak için kullanılan bir TCP/IP protokolüdür. Bir e-posta istemcisinden (diğer adıyla posta kullanıcı aracısı) bir iletiyi iletmek için, e-postanın gerçek içeriğini iletmek üzere istemci ile sunucu arasında bir SMTP bağlantısı kurulur.
Sunucu daha sonra alıcının e-posta adresinin etki alanını kontrol etmek için posta aktarım aracısı (MTA) adı verilen şeye güvenir ve göndereninkinden farklıysa, alıcının etki alanı için MX (posta değiştirici) kaydını aramak ve posta alışverişini tamamlamak için etki alanı adı sistemini (DNS) sorgular.
SMTP kaçakçılığının püf noktası, giden ve gelen SMTP sunucuları veri sonu dizilerini farklı şekilde ele aldığında ortaya çıkan tutarsızlıklardan kaynaklanır ve potansiyel olarak tehdit aktörlerinin mesaj verilerinden çıkmasına, rastgele SMTP komutlarını "kaçırmasına" ve hatta ayrı e-postalar göndermesine olanak tanır.
.png)
Kavramı, gelen istek zincirine belirsiz bir istek eklemek için "Content-Length" ve "Transfer-Encoding" HTTP üst bilgilerinin yorumlanması ve işlenmesindeki tutarsızlıklardan yararlanan HTTP istek kaçakçılığı olarak adlandırılan bilinen bir saldırı yönteminden ödünç alır.
Özellikle, milyonlarca etki alanını taklit eden e-postalar göndermek için Microsoft, GMX ve Cisco'nun mesajlaşma sunucularındaki güvenlik açıklarından yararlanır. Postfix ve Sendmail'den gelen SMTP uygulamaları da etkilenir.
Bu, meşru gönderenlerden geliyormuş gibi görünen sahte e-postaların gönderilmesine olanak tanır ve gelen iletilerin gerçekliğinden emin olmak için yapılan kontrolleri yener - yani, Alan Anahtarları Tanımlı Posta (DKIM), Alan Adı Tabanlı İleti Kimlik Doğrulaması, Raporlama ve Uygunluk (DMARC) ve Gönderen Politikası Çerçevesi (SPF).
Microsoft ve GMX sorunları düzeltirken, Cisco bulguların bir "güvenlik açığı değil, bir özellik oluşturduğunu ve varsayılan yapılandırmayı değiştirmeyeceklerini" söyledi. Sonuç olarak, Cisco Güvenli E-posta örneklerine gelen SMTP kaçakçılığı, varsayılan yapılandırmalarla hala mümkündür.
Düzeltme olarak SEC Consult, geçerli DMARC kontrollerine sahip sahte e-postalar almaktan kaçınmak için Cisco kullanıcılarının ayarlarını "Temiz"den "İzin Ver"e değiştirmelerini önerir.
Benzer Haberler
Google Project Zero Researcher, Samsung Cihazlarını Hedefleyen Sıfır Tıklama İstismarını Ortaya Çıkardı
SonicWall, Palo Alto Expedition ve Aviatrix denetleyicilerinde önemli güvenlik açıkları düzeltildi
Yeni Banshee Stealer Varyantı, Apple'ın XProtect'ten İlham Alan Şifrelemesi ile Antivirüsü Atlıyor
GFI KerioControl'deki kritik RCE kusuru, CRLF enjeksiyonu yoluyla uzaktan kod yürütülmesine izin verir
CISA, Aktif Sömürünün Ortasında Mitel ve Oracle Sistemlerindeki Kritik Kusurları İşaretledi
Araştırmacılar Illumina iSeq 100 DNA Dizileyicilerindeki Büyük Güvenlik Açığını Ortaya Çıkardı
Moxa, kullanıcıları hücresel ve güvenli yönlendiricilerdeki yüksek önem derecesine sahip güvenlik açıklarına karşı uyarır
Araştırmacılar, imza atlama ve kod yürütmeyi sağlayan çekirdek güvenlik açığını ortaya çıkardı