Уязвимости в Gmail и iCloud позволяют скрыть отправителя

6 августа 2020 года

В четверг, 6 августа, на конференции по безопасности Black Hat исследователи безопасности сообщат о 18 уязвимостях в отраслевых средствах защиты электронной почты. Эксплуатация проблем позволяет злоумышленникам скрыть свою личность от жертвы.

В исследовании были рассмотрены три основных протокола, используемых при аутентификации отправителя электронной почты: Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) и Domain-based Message Authentication, Reporting and Conformance (DMARC). Эксперты выявили 18 уязвимостей, которые были связаны не с самими протоколами, а с тем, как их реализуют различные почтовые сервисы и клиентские приложения. Злоумышленники могут использовать данные проблемы для более эффективного избежания обнаружения целенаправленных фишинговых атак.

Исследователи обнаружили, что манипуляция полями заголовка позволяет производить различные типы атак, каждая из которых может быть использована для обмана получателя электронного письма.

Уязвимости были разделены на три категории. Первый набор, называемый «внутрисерверными» атаками, основан на несоответствиях того, как почтовый сервис извлекает данные из заголовков для аутентификации отправителя. Возьмем тот факт, что в заголовках электронной почты есть два поля «От» — HELO и MAIL FROM. Можно настроить разные механизмы аутентификации, чтобы согласовать эти два поля разными способами. Например, некоторые из них могут быть реализованы для интерпретации адреса электронной почты, который начинается с открытой круглой скобки, например, (wired@iscool[.]com, как пустое поле MAIL FROM, что заставляет его вместо этого полагаться на поле HELO для проверки целостности. Подобные несоответствия позволяют создавать стратегические почтовые домены или манипулировать заголовками сообщений, чтобы выдать себя за кого-то другого.

Вторая категория связана с манипулированием аналогичными несоответствиями, но между почтовым сервером, получающим сообщение, и приложением, которое фактически отображает его пользователю. Эксперты обнаружили серьезные несоответствия в том, как разные серверы и клиенты обрабатывают заголовки «От», в которых перечисляются несколько адресов электронной почты или адреса, окруженные разным количеством пробелов. Предполагается, что службы помечают такие сообщения как имеющие проблемы с аутентификацией, но на практике многие принимают либо первый адрес в списке, либо последний, либо все адреса в качестве поля «От».

Исследователи называют третью категорию «неоднозначным воспроизведением», потому что она включает различные методы взлома и повторного воспроизведения легитимного электронного письма, полученного злоумышленником. В рамках атак эксплуатируется элемент механизма криптографической аутентификации DKIM, при котором пользователь может получить аутентифицированное электронное письмо, создать новое сообщение, оставив при этом все заголовки и тело, и повторно отправить его, сохранив аутентификацию. Как обнаружили специалисты, злоумышленник может добавить дополнительные заголовки и основной текст к тому, что уже есть в письме.

В общей сложности исследователи выявили 10 провайдеров электронной почты и 19 почтовых клиентов, уязвимых к одной или нескольким атакам, включая Gmail от Google, iCloud от Apple, Microsoft Outlook и Yahoo Mail.