SMTP Smuggling - Ein neue Methode zur Absenderfälschung in E-Mails

Die Geburt einer neuen Technik für E-Mail-Spoofing

Overview SMTP Smuggling

Im Rahmen eines Forschungsprojekts in Zusammenarbeit mit dem SEC Consult Vulnerability Lab entdeckte Timo Longin (@timolongin) - bekannt für seine Angriffe auf das DNS-Protokoll - eine neuartige Angriffstechnik für ein weiteres Internetprotokoll - SMTP (Simple Mail Transfer Protocol). Bedrohungsakteure könnten anfällige SMTP-Server weltweit missbrauchen, um bösartige E-Mails von beliebigen E-Mail-Adressen aus zu versenden, was gezielte Phishing-Angriffe ermöglicht. Aufgrund der Art der Ausnutzung wurde diese Sicherheitslücke als SMTP Smuggling getauft. Es wurden mehrere 0-Days entdeckt und verantwortliche Software-Hersteller via Responsible Disclosure benachrichtigt.

Neuartige Angriffe in SMTP? Ja, SMTP!

Obwohl SMTP, das Simple Mail Transfer Protocol, seit den Anfängen des Internets für den weltweiten Versand von E-Mails verwendet wird, ist es auch im Jahr 2023 noch möglich, neue Wege zu finden, um dieses auszunutzen! Wie mit diesem Angriff E-Mails von admin(at)microsoft.com an Amazon, PayPal, eBay und Millionen weitere Unternehmen geschickt werden können, ist in unserem englischen Blogpost detailliert beschrieben.

Zusammenfassung

Durch die Ausnutzung von Interpretationsunterschieden des SMTP-Protokolls ist es möglich, gefälschte E-Mails zu schmuggeln/zu versenden - daher SMTP Smuggling - und dennoch SPF-Checks zu bestehen. Während dieser Untersuchung wurden zwei Arten von SMTP Smuggling, ausgehend und eingehend, entdeckt. Diese ermöglichten es, gefälschte E-Mails von Millionen von Domänen (z. B. admin(at)microsoft.coman Millionen von empfangenden SMTP-Servern (z. B. Amazon, PayPal, eBay) zu senden. Die identifizierten Schwachstellen in Microsoft und GMX wurden schnell behoben. SEC Consult rät jedoch Unternehmen, die das ebenfalls betroffene Cisco Secure Email Produkt einsetzen, ihre anfällige Standardkonfiguration manuell zu aktualisieren (siehe Abschnitt "Responsible Disclosure" im englischen Blogpost.

Dieser Research wurde von Timo Longin im Auftrag des SEC Consult Vulnerability Lab durchgeführt.

FAQ

Als Benutzer eines großen E-Mail-Anbieters (Outlook, Gmail usw.) ist höchstwahrscheinlich alles in Ordnung (zumindest momentan). Da SMTP Smuggling ein relativ neues Thema ist und es noch einiges zu erforschen gibt, können wir jedoch nicht sicher sein. Wenn jedoch Cisco Secure Email im Einsatz ist (in der Cloud oder On-Prem), sollte auf jeden Fall die Konfiguration überprüft werden (siehe Abschnitt "Responsible Disclosure" im englischen Blogpost)! Aber wie immer gilt: Niemals blind einer E-Mail im Posteingang vertrauen!

Update vom 10. 01. 2024: Offizielle Tools zum Testen auf SMTP Smuggling sind jetzt auf GitHub verfügbar!

Update vom 10. 01. 2024: Offizielle Tools zum Testen auf SMTP Smuggling sind jetzt auf GitHub verfügbar!

Wir haben intern ein Analysetool entwickelt, aber beschlossen, es erst zu einem späteren Zeitpunkt zu veröffentlichen (vielleicht schon auf der 37C3-Konferenz Ende Dezember 2023, auf der diese Forschung vorgestellt wird), da derzeit viele Cisco Secure Mail-Installationen von dem Problem betroffen sind. 

Die kurze Antwort lautet: Nein, nicht immer! Auch wenn die geschmuggelte E-Mail von einem legitimen Absender stammt und die E-Mail-Authentifizierung aufgrund des SPF-Checks besteht, kann die E-Mail je nach Inhalt und anderen Faktoren dennoch blockiert werden. Wenn mehr als der SPF-Check erforderlich ist, um die E-Mail durchzulassen, hat man mit SMTP Smuggling schlechte Karte

Dafür gibt es zwei Gründe:

  1. SMTP ist ein sehr altes Protokoll, das unter dem Radar vieler Sicherheitsforscher fliegt (ähnlich wie DNS). Da es keine verwandten Forschungen gab, die auf ähnliche Angriffe hindeuteten, standen die Chancen gut, etwas Neues zu finden!
  2. Phishing ist eine der besten Möglichkeiten für Bedrohungsakteure oder unsere Red Teamer, sich Zugang zu einem Unternehmen zu verschaffen. Daher lag es nahe, nach Schwachstellen im zugrunde liegenden E-Mail-Protokoll - SMTP - zu suchen.

Höchstwahrscheinlich! Wiederum aus zwei Gründen:

  1. Die SMTP-Infrastruktur von Microsoft, einschließlich Exchange Online, war anfällig. Dies wäre höchstwahrscheinlich von früheren Forschern entdeckt und behoben worden.
  2. Wir haben keine Forschungsergebnisse gefunden, die das Gegenteil behaupten.

a, sehr viele! Zum Beispiel: "Weak Links in Authentication Chains: A Large-scale - Analysis of Email Sender Spoofing Attacks" zeigt eine Reihe interessanter Angriffe, die sogar mit Gmail funktionieren!

Ja, natürlich! Generell können Implementierungen von (manchmal) vagen Spezifikationen alle Arten von Sicherheitsproblemen verursachen.

Das Scannen von E-Mail-Diensten nach verwendeter Software und Versionen kann ungenaue Ergebnisse liefern und endet oft mit einem Eintrag auf einer Blacklist. Dasselbe gilt für spezifischere End-of-Data-Sequence-Checks, bei denen im Grunde eine ganze E-Mail versendet wird. Daher konnten wir im Rahmen dieser Untersuchung grob nur die Top 10k der Alexa-Domänen analysieren.

Interessieren Sie sich für eine Karriere bei SEC Consult?

SEC Consult ist immer auf der Suche nach talentierten Sicherheitsexpert:innen, die unser Team verstärken möchten.
Mehr Information

Über den Autor

[Translate to German:] Portrait of Timo Longin SEC Consult
Timo Longin
SEC Consult
Senior Security Consultant

Timo Longin (auch bekannt als Login) ist tagsüber Senior Security Consultant bei SEC Consult und nachts Sicherheitsforscher. Neben alltäglichen Sicherheitsüberprüfungen für Kunden veröffentlicht er Blogbeiträge und Sicherheitstools, hält Vorträge auf Konferenzen und Universitäten und hat eine Leidenschaft für CTFs. Als vielseitiger, offensiver Sicherheitsforscher versucht er, vergessene und neue Schwachstellen zu identifizieren, die das Undenkbare möglich machen!

Zurück