Đang tải

Đang tải

Bạn có biết không?

Dịch vụ IT chuyên nghiệp.

Một kỹ thuật khai thác mới nhắm vào Simple Mail Transfer Protocol (SMTP) bị tin tặc vũ khí hóa để gửi các email mạo danh với địa chỉ người gửi giả trong khi vẫn qua mặt được các biện pháp an ninh.

Theo các chuyên gia đến từ SEC Consult: “Kẻ xấu có thể lạm dụng lỗ hổng trong máy chủ SMTP trên toàn thế giới để gửi các email độc hại từ một địa chỉ email tùy ý đến các địa chỉ đã được nhắm mục tiêu.”

SMTP là giao thức TCP/IP được dùng để gửi và nhận các thông điệp thư điện tử qua mạng. Để chuyển tiếp thư từ ứng dụng email, một kết nối SMTP được thiết lập giữa máy khách và máy chủ.

Máy chủ sau đó dựa vào thành phần vận chuyển thư (Mail transfer agent – MTA) để kiểm tra miền địa chỉ email người nhận, nếu miền này khác với tên người gửi, nó sẽ truy vấn hệ thống tên miền (DNS) để tìm kiếm bản ghi mail exchanger (MX) đúng với tên miền của người nhận và hoàn thành việc trao đổi thư từ.

Lỗ hổng SMTP smuggling bắt nguồn từ việc không đồng nhất từ máy chủ SMTP gửi đi và gửi đến khi xử lý các chuỗi dữ liệu cuối khác nhau, cho phép kẻ xấu đột nhập vào dữ liệu thư, giả mạo các lệnh SMTP tùy ý và thậm chí gửi các email khác nhau.

Kỹ thuật này mượn từ một phương pháp tấn công quen thuộc có tên HTTP request smuggling, lợi dụng sự khác biệt trong việc biên dịch và xử lý tiêu đề HTTP “Content-Length” và “Transfer-Encoding” để thêm một truy vấn mập mờ vào chuỗi truy vấn đến.

Đặc biệt, kỹ thuật này đã khai thác các lỗ hổng an ninh trong máy chủ tin nhắn của Microsoft, GMX và Cisco để gửi hàng triệu email giả mạo các tên miền. Việc triển khai SMTP cũng bị ảnh hưởng từ Postfix và Sendmail. Điều này cho phép gửi các email giả mạo có vẻ từ người gửi hợp pháp và vượt qua được các biện pháp xác thực.

Trong khi GMX đã khắc phục sự cố, Cisco cho biết phát hiện này không phải là lỗ hổng mà là tính năng nên sẽ không thay đổi cấu hình mặc định. Để khắc phục, SEC Counsult khuyến cáo người dùng Cisco thay đổi các cài đặt của họ từ “Clean” thành “Allow” để tránh nhận các email giả mạo đã được kiểm tra là hợp lệ.

Theo The Hacker News

Chia sẽ bài viết

Bài viết liên quan

Atlassian khuyến cáo vá lỗ hổng nghi�

Atlassian đã khuyến cáo khách hàng “cần hàn...

Chiến dịch tấn công máy chủ VMware

Thời gian gần đây, VMware ESXi trở thành nỗi...

Phát hiện hai lỗ hổng nghiêm trọng

VideoLAN vừa phát hành phiên bản VLC Media Playe...

Leave a Comment