Timo Longin, cố vấn bảo mật cấp cao tại SEC Consult đã cho biết trong một phân tích rằng: “Những kẻ đe dọa có thể lạm dụng các máy chủ SMTP dễ bị tấn công trên toàn thế giới để gửi email độc hại từ các địa chỉ email tùy ý, cho phép các cuộc tấn công lừa đảo nhắm mục tiêu”.
SMTP là giao thức TCP/IP được sử dụng để gửi và nhận email qua mạng. Để chuyển tiếp thư từ ứng dụng email (còn gọi là tác nhân người dùng thư), kết nối SMTP được thiết lập giữa máy khách và máy chủ để truyền nội dung thực tế của email.
Sau đó, máy chủ dựa vào cái được gọi là tác nhân chuyển thư (MTA) để kiểm tra miền địa chỉ email của người nhận và nếu nó khác với miền địa chỉ email của người gửi, nó sẽ truy vấn hệ thống tên miền (DNS) để tra cứu bản ghi MX (thư Exchanger) để biết tên miền của người nhận và hoàn tất việc trao đổi thư.
Mấu chốt của việc buôn lậu SMTP bắt nguồn từ sự mâu thuẫn nảy sinh khi các máy chủ SMTP gửi đi và nhận đến xử lý các chuỗi cuối dữ liệu khác nhau, có khả năng tạo điều kiện cho kẻ tấn công phá vỡ dữ liệu thư, "trộn" các lệnh SMTP tùy ý và thậm chí gửi các email riêng biệt.
Mượn khái niệm từ một phương thức tấn công đã biết được gọi là buôn lậu yêu cầu HTTP, kỹ thuật tấn công này lợi dụng sự khác biệt trong việc giải thích và xử lý các tiêu đề HTTP " Content-Length" và " Transfer-Encoding" để thêm một yêu cầu mơ hồ vào chuỗi yêu cầu gửi đến.
Cụ thể, nó khai thác lỗ hổng bảo mật trên các máy chủ nhắn tin của Microsoft, GMX, Cisco để gửi email giả mạo hàng triệu tên miền. Triển khai SMTP của Postfix và Sendmail cũng bị ảnh hưởng.
Điều này cho phép gửi các email giả mạo có vẻ như đến từ những người gửi hợp pháp và qua mặt các biện pháp kiểm tra được thiết lập để đảm bảo tính xác thực của các thư đến, tức là Thư được xác định bằng khóa tên miền (DKIM), Xác thực, Báo cáo và tuân thủ thư dựa trên tên miền (DMARC) ) và Khung chính sách người gửi (SPF).
Trong khi Microsoft và GMX đã khắc phục sự cố, Cisco cho biết những phát hiện này không phải là "lỗ hổng mà là một tính năng và chúng sẽ không thay đổi cấu hình mặc định". Do đó, việc chuyển lậu SMTP vào Cisco Secure Email vẫn có thể thực hiện được với cấu hình mặc định.
Để khắc phục, SEC Consult khuyến nghị người dùng Cisco thay đổi cài đặt của họ từ "Clean" thành "Allow" để tránh nhận các email giả mạo có dấu kiểm tra DMARC hợp lệ.
https://thehackernews.com/2024/01/smtp-smuggling-new-threat-enables.html