Hacker dapat mem-Bypass filter Spam dan pesan otentikasi

Computer Security News

Email sumber spoofing, melewati filter spam dan perlindungan, seperti otentikasi pesan berbasis Domain, laporan dan kesesuaian (DMARC), telah diwakili oleh penetrasi tester Sabri Haddouche, berpose risiko pengguna yang menjalankan rentan dan unpatched mail klien.

Tester ditemukan bahwa lebih dari 30 mail client termasuk Apple Mail, Thunderbird, berbagai klien Windows, Yahoo! Mail, ProtonMail dan lain-lain, ceroboh penerapan RFC kuno, memungkinkan hacker untuk menipu menampilkan palsu dari perangkat lunak Field, meskipun fakta bahwa server melihat pengirim nyata.

Dengan kata lain, apabila server dikonfigurasikan untuk menggunakan DMARC, Framework(SPF) kebijakan pengirim atau Domain kunci diidentifikasi Mail (DKIM), itu akan memperlakukan pesan sebagai legit, bahkan jika itu harus spam binned.

Di sisi lain, RFC adalah RFC 1342, “Representasi dari bebas-ASCII teks dalam Internet header pesan”, dan apa Haddouche menemukan kesalahan implementasi yang klien mail dan antarmuka email Web tidak benar sanitise string non ASCII setelah decoding.

Menurut Haddouche, embedding dapat menggunakan baik =? utf-8? b? [ ]? = untuk embedding.

Sebagai contoh, Apple Mail adalah makan berikut:

dari: =? utf-8? b? ${base64_encode(‘potus@whitehouse.gov’)}? ==? utf-8? Q? = 00? ==? utf-8? b? ${base64_encode (‘(potus@whitehouse.gov)’)}? = @mailsploit.com.

Masalah keamanan dua berikut:

  • iOS memiliki bug null-byte injeksi, sehingga mengabaikan segalanya setelah itu byte dan menunjukkan potus@whitehouse.gov sebagai pengirim;
  • MacOS macOS mengabaikan null-byte tapi akan berhenti setelah email yang valid pertama melihat (karena bug di parser).

Sabri Haddouche disebut bug “Mailsploit”, dan tersedia daftar lengkap rentan klien.

Mailsploit memiliki kekurangan lain – beberapa kesulitan Tiket sistem (Supportsystem, osTicket dan interkom) juga dikenakan bug. Selain itu, dalam banyak mailer, bug dapat juga dimanfaatkan untuk cross-site scripting dan kode serangan injeksi.

Vendor yang dihubungi Haddouche memiliki baik ditambal atau harus bekerja di sebuah patch, meskipun Mozilla dan Opera bisa menjadi masalah sisi server, dan Mailbird “Tutup tiket tanpa menjawab”.


Leave a Reply

Your email address will not be published. Required fields are marked *