Tin tặc có thể bỏ qua bộ lọc thư rác và tin nhắn xác thực

Computer Security News

Email nguồn giả mạo, bỏ qua các bộ lọc thư rác và bảo vệ, chẳng hạn như tên miền dựa trên tin nhắn xác thực, báo cáo và sự phù hợp (DMARC), đã được đại diện bởi thâm nhập tester Sabri Haddouche, đặt ra một nguy cơ cho những người sử dụng chạy một dễ bị tổn thương và thư chưa được vá.

Thử nghiệm tìm thấy hơn 30 khách hàng mail bao gồm Thunderbird, Apple Mail, các khách hàng của Windows, Yahoo! Mail, ProtonMail và những người khác, bungled của họ thực hiện một RFC cổ đại, cho phép hacker để đánh lừa phần mềm Hiển thị một giả mạo từ lĩnh vực này, mặc dù thực tế rằng các máy chủ thấy người gửi thực.

Nói cách khác, trong trường hợp máy chủ được cấu hình để sử dụng DMARC, người gửi chính sách Framework(SPF) hoặc Mail xác định phím miền (DKIM), nó sẽ đối xử với một tin nhắn như vn, thậm chí nếu nó phải là thư rác-binned.

Mặt khác, RFC là RFC 1342, “Đại diện của phòng không phải ASCII văn bản trong Internet tiêu đề thư” và những gì Haddouche tìm thấy là lỗi thực hiện mà các khách hàng mail và giao diện Web mail không đúng sanitise một chuỗi ASCII sau khi giải mã nó.

Theo Haddouche, các nhúng có thể sử dụng một trong hai =? utf-8? b? [BASE-64]?= or =?utf-8?Q?[QUOTED-PRINTABLE]? = cho các nhúng.

Ví dụ, Apple Mail là ăn như sau:

từ: =? utf-8? b? ${base64_encode(‘potus@whitehouse.gov’)}? ==? utf-8? Q? = 00? ==? utf-8? b? ${base64_encode (‘(potus@whitehouse.gov)’)}? = @mailsploit.com.

An ninh hai vấn đề ở đây là:

  • iOS có một lỗi null-byte tiêm, do đó, nó bỏ qua tất cả mọi thứ sau đó byte và cho thấy potus@whitehouse.gov như là người gửi;
  • MacOS macOS bỏ qua null-byte nhưng sẽ dừng lại sau khi email hợp lệ đầu tiên nó thấy (do một lỗi trong phân tích cú pháp).

Sabri Haddouche được gọi là lỗi “Mailsploit”, và cung cấp một danh sách đầy đủ của dễ bị khách hàng.

Mailsploit có một thiếu hụt – một số vấn đề đặt vé hệ thống (Supportsystem, osTicket và liên lạc) cũng bị lỗi. Bên cạnh đó, trong nhiều mailers, các lỗi có thể cũng được khai thác cho cross-site scripting và mã tấn công tiêm.

Các nhà cung cấp Haddouche liên lạc với có hoặc vá hoặc đã làm việc trên một bản vá, mặc dù Mozilla và Opera có thể là một vấn đề phía máy chủ, và Mailbird “đóng cửa vé mà không đáp ứng”.


Leave a Reply

Your email address will not be published. Required fields are marked *