Хакери можуть обійти фільтри спаму та автентифікації повідомлення

Computer Security News

Email джерело підміни, минаючи фільтри спаму та захисту, таких як повідомлення автентифікацію на основі домену, звітність та відповідність (DMARC), були представлені на проникнення тестер Сабрі Haddouche, створюють загрозу для користувачів, які працюють на вразливі і застарілих поштового клієнта.

Тестера знайшов що більше 30 поштових клієнтів, у тому числі Thunderbird, Apple Mail, різних клієнтів Windows, Yahoo! Mail, ProtonMail та інші, bungled їх виконання стародавньої RFC, дозволяючи хакерам вивідати відображення на фальшивих від програмне забезпечення поля, незважаючи на те, що сервер бачить справжній відправник приховується.

Іншими словами, у випадку, якщо сервер налаштовано на використання DMARC, Framework(SPF) політики відправника або домен ключі визначені пошти (DKIM), вона буде ставитися повідомлення як legit, навіть якщо він повинен бути, спам binned.

З іншого боку, RFC є RFC 1342 «Представництво з Non-ASCII тексту в Інтернет заголовки повідомлень» та що Haddouche знайшов помилка виконання яких поштові клієнти і веб-пошти інтерфейсів не належним чином sanitise non-ASCII рядка після його декодування.

За словами Haddouche, вкладення можна скористатися =? utf-8? b? [BASE-64]?= or =?utf-8?Q?[QUOTED-PRINTABLE]? = для вкладення.

Наприклад, Apple Mail годували наступне:

з: =? utf-8? b? ${base64_encode(‘potus@whitehouse.gov’)}? = =? utf-8? Q? = 00? = =? utf-8? b? ${base64_encode (‘(potus@whitehouse.gov)’)}? = @mailsploit.com.

Питання два безпеки:

  • iOS має null байтове ін’єкції помилку, так що він ігнорує все після цьому байті і показує potus@whitehouse.gov як відправника;
  • MacOS macOS ігнорує значення null байтові, але припинить після першого адреса електронної, вона бачить (через помилку у аналізатор).

Сабрі Haddouche називається помилка “Mailsploit” і надається повний перелік уразливі клієнтів.

Mailsploit має ще один недолік – деякі проблеми з продажу квитків системи (Supportsystem, osTicket і Intercom), також підлягають помилка. Окрім того, у багатьох поштових програм, помилка також може бути використана для перехресних міжсайтових сценаріїв і код ін’єкцій.

Постачальники, які Haddouche зв’язався є Латка, або отримали роботу на патч, хоча Mozilla і Opera може бути проблема на стороні сервера, а Mailbird “закриті квиток без реагування”.


Leave a Reply

Your email address will not be published. Required fields are marked *