Hacker boleh memintas penapis Spam dan mesej pengesahan

Computer Security News

E-mel sumber penipuan, memintas penapis spam dan perlindungan, seperti pengesahan mesej berdasarkan Domain, laporan dan pematuhan (DMARC), telah diwakili oleh tester penembusan Sabri Haddouche, menyamar risiko kepada pengguna yang menjalankan yang terdedah dan pelanggan mel unpatched.

Tester yang mendapati bahawa lebih daripada 30 pelanggan mel yang termasuk Thunderbird, epal Mail, pelbagai pelanggan Windows, Yahoo! Mail, ProtonMail dan lain-lain, bungled mereka pelaksanaan RFC yang purba, membolehkan hacker untuk memperdayakan perisian memaparkan suatu spoofed dari bidang, walaupun pada hakikatnya bahawa pelayan melihat pengirim sebenar.

Dalam erti kata lain, dalam kes pelayan dikonfigurasi untuk menggunakan DMARC, Framework(SPF) dasar penghantar atau Domain kekunci dikenalpasti mel (DKIM), ia akan melayan mesej sebagai legit, walaupun ia harus spam-binned.

Di sisi lain, RFC adalah RFC 1342, “Wakil daripada bebas bukan ASCII teks dalam mesej pengepala Internet”, dan apa Haddouche mendapati kesilapan pelaksanaan pelanggan mel dan antara muka mel Web yang betul tidak sanitise bukan ASCII rentetan selepas decoding.

Menurut Haddouche, pemupukan boleh menggunakan salah satu =? utf-8? b? [BASE-64]?= or =?utf-8?Q?[QUOTED-PRINTABLE]? = untuk pemupukan.

Sebagai contoh, epal Mail adalah makan yang berikut – dari: =? utf-8? b? ${base64_encode(‘potus@whitehouse.gov’)}? ==? utf-8? Q? = 00? ==? utf-8? b? ${base64_encode (‘(potus@whitehouse.gov)’)}? = @mailsploit.com.

Isu-isu keselamatan dua:

  • iOS mempunyai bug null-bait suntikan, supaya ia mengabaikan segala-galanya selepas bait itu dan menunjukkan potus@whitehouse.gov sebagai penghantar;
  • MacOS macOS mengabaikan null-bait tetapi akan berhenti selepas emel pertama yang sah yang melihat (kerana bug dalam parser).

Sabri Haddouche dipanggil bug “Mailsploit”, dan disediakan senarai penuh terdedah pelanggan.

Mailsploit mempunyai kekurangan yang lain – sesetengah masalah Tiket sistem (Supportsystem, osTicket dan interkom) adalah juga tertakluk kepada pepijat. Selain itu, dalam banyak mailer, pepijat boleh juga boleh dieksploitasi untuk serangan Laman skrip dan kod suntikan.

Vendor yang dihubungi Haddouche mempunyai sama ada memperbaiki atau dapat kerja tampalan, walaupun Mozilla dan Opera boleh menjadi masalah bahagian-pelayan, dan Mailbird “ditutup Tiket tanpa menjawab”.


Leave a Reply

Your email address will not be published. Required fields are marked *