bencede
New member
Günümüzde e-postalar İnternet üzerinden aktığında, Basit Posta Aktarım Protokolü’nün (SMTP) işin içinde olduğu neredeyse kesindir. Çoğu e-posta istemcisi ve sunucusu, hem yerel hem de uzak alıcılara mesaj göndermek için bunu kullanır. Taşımadan sorumlu sunucular bunu kendi aralarında kullanır. Protokol çok eskidir ve spam’den kimlik avına kadar günümüzün can sıkıcı e-posta sorunlarının çoğunun kökeni, hiçbir zaman temelden elden geçirilmemiş olmasından kaynaklanmaktadır.
Duyuru
Daha da şaşırtıcı olan, SEC Consult’tan araştırmacıların ancak haziran ayında hoş olmayan başka bir özelliği keşfetmeleriydi: biraz farklı girdi verileriyle e-posta gönderenleri kandırmayı ve örneğin kullanıcıların önünde yönetici gibi davranmayı başardılar. Kaşiflerin “SMTP kaçakçılığı” olarak adlandırdığı özellik, güvenlik için tasarlanan tüm yöntemleri şaşırtmasaydı, bu yeni bir şey olmazdı. Niyet bildirimleri, imzalar ve başlık kontrolleriyle bu tür şeyleri tespit etmesi gereken SPF, DKIM ve DMARC, “ideal” koşullar altında başarısız oluyor.
Saldırılar, web sunucularındaki uygulama zayıflıklarına dayanıyordu: Ön uçta göze çarpmayan bir istekle arka uç sunucuları ücretsiz sürücüler olarak sunarak onlara ek istekler yüklemeyi başardılar. SEC Consult’taki güvenlik araştırmacıları, benzer bir şeyin sunucular arasındaki SMTP diyaloğunda da meydana geldiğini keşfettiler çünkü sunucular, bir e-postanın veri bölümünün (yalnızca nokta içeren bir satır) sonundaki üzerinde anlaşmaya varılan imzayı farklı şekilde ele alıyorlar. Bu, şüpheli olmayan bir mesaja sahte gönderen adreslerini içeren ikinci bir mesaj eklemelerine olanak sağladı.
Aynı sunucudan geldiği için orijinal olarak sınıflandırıldı
Araştırmacılar bu bulguları birkaç büyük e-posta sağlayıcısının sunucu davranışını incelemek için kullandılar. Ayrıca bu zayıflıktan yararlanılabilecek değişkenler de buldular: Bu, kullanılan satır sonlarına bağlıdır; örneğin yalnızca satır besleme karakterleri, satır başı kombinasyonları veya aralıklı boş karakterler. Ancak sahte e-posta söz konusu sunucudan geldiği için SPF, DKIM ve DMARC gibi sahtecilikle mücadele etmek için icat edilen teknikler, e-postanın sözde orijinalliğini bile doğrulayabilir.
Sorumlu açıklamanın bir parçası olarak SEC Consult araştırmacıları bulgularını Temmuz ayı sonunda Microsoft, Cisco ve GMX ile paylaştı. GMX yaklaşık iki hafta sonra yanıt verdi ve sunucularındaki sorunu düzeltti. Microsoft’un Exchange Online’da (Hotmail vb.) herhangi bir manipülasyon olasılığını ortadan kaldırması iki aydan fazla zaman aldı. Güvenlik araştırmacılarına göre yaygın olarak kullanılan Cisco Secure Email Gateway, kaçakçılık saldırılarına karşı ancak manuel müdahaleyle güçlendirilebiliyor.
SEC Consult’un raporuna göre, CERT Koordinasyon Merkezi (CERT/CC) ile koordinasyondaki bir yanlış anlaşılma nedeniyle, Postfix gibi bağımsız projeler, keşfin Noel’den hemen önce blogda yayınlanmasıyla şaşırdı. Bu arada mail sunucusu operatörlerinin uygulayabileceği öneriler de var. Keşif, bu yılki Kaos İletişim Kongresi’ni (37C3) Postfix bakımcılarından özür dilemek ve keşfini açıklamak için kullandı.
Mailsever Postfix, geçici çözümler ve yamalar hakkında bilgi içerir.
(Sen)
Haberin Sonu
Duyuru
Daha da şaşırtıcı olan, SEC Consult’tan araştırmacıların ancak haziran ayında hoş olmayan başka bir özelliği keşfetmeleriydi: biraz farklı girdi verileriyle e-posta gönderenleri kandırmayı ve örneğin kullanıcıların önünde yönetici gibi davranmayı başardılar. Kaşiflerin “SMTP kaçakçılığı” olarak adlandırdığı özellik, güvenlik için tasarlanan tüm yöntemleri şaşırtmasaydı, bu yeni bir şey olmazdı. Niyet bildirimleri, imzalar ve başlık kontrolleriyle bu tür şeyleri tespit etmesi gereken SPF, DKIM ve DMARC, “ideal” koşullar altında başarısız oluyor.
Saldırılar, web sunucularındaki uygulama zayıflıklarına dayanıyordu: Ön uçta göze çarpmayan bir istekle arka uç sunucuları ücretsiz sürücüler olarak sunarak onlara ek istekler yüklemeyi başardılar. SEC Consult’taki güvenlik araştırmacıları, benzer bir şeyin sunucular arasındaki SMTP diyaloğunda da meydana geldiğini keşfettiler çünkü sunucular, bir e-postanın veri bölümünün (yalnızca nokta içeren bir satır) sonundaki üzerinde anlaşmaya varılan imzayı farklı şekilde ele alıyorlar. Bu, şüpheli olmayan bir mesaja sahte gönderen adreslerini içeren ikinci bir mesaj eklemelerine olanak sağladı.
Aynı sunucudan geldiği için orijinal olarak sınıflandırıldı
Araştırmacılar bu bulguları birkaç büyük e-posta sağlayıcısının sunucu davranışını incelemek için kullandılar. Ayrıca bu zayıflıktan yararlanılabilecek değişkenler de buldular: Bu, kullanılan satır sonlarına bağlıdır; örneğin yalnızca satır besleme karakterleri, satır başı kombinasyonları veya aralıklı boş karakterler. Ancak sahte e-posta söz konusu sunucudan geldiği için SPF, DKIM ve DMARC gibi sahtecilikle mücadele etmek için icat edilen teknikler, e-postanın sözde orijinalliğini bile doğrulayabilir.
Sorumlu açıklamanın bir parçası olarak SEC Consult araştırmacıları bulgularını Temmuz ayı sonunda Microsoft, Cisco ve GMX ile paylaştı. GMX yaklaşık iki hafta sonra yanıt verdi ve sunucularındaki sorunu düzeltti. Microsoft’un Exchange Online’da (Hotmail vb.) herhangi bir manipülasyon olasılığını ortadan kaldırması iki aydan fazla zaman aldı. Güvenlik araştırmacılarına göre yaygın olarak kullanılan Cisco Secure Email Gateway, kaçakçılık saldırılarına karşı ancak manuel müdahaleyle güçlendirilebiliyor.
SEC Consult’un raporuna göre, CERT Koordinasyon Merkezi (CERT/CC) ile koordinasyondaki bir yanlış anlaşılma nedeniyle, Postfix gibi bağımsız projeler, keşfin Noel’den hemen önce blogda yayınlanmasıyla şaşırdı. Bu arada mail sunucusu operatörlerinin uygulayabileceği öneriler de var. Keşif, bu yılki Kaos İletişim Kongresi’ni (37C3) Postfix bakımcılarından özür dilemek ve keşfini açıklamak için kullandı.
Mailsever Postfix, geçici çözümler ve yamalar hakkında bilgi içerir.
(Sen)
Haberin Sonu