اگر یک پست الکترونیک دریافت کردید که به نظر میرسد از طرف یکی از دوستان شما باشد، مراقب باشید! ممکن است این پست الکترونیک توسط فرد دیگری ارسال شده باشد تا سیستم شما را به خطر بیندازد.
یکی از محققان امنیتی، مجموعهای از آسیبپذیریها را در بیش از ۳۰ برنامه کاربردی پست الکترونیک محبوب کشف کرده است که میتواند به هرکسی اجازه ارسال پستهای الکترونیک جعلی را بدهد و از مکانیسمهای ضد فریبندگی(۱) جلوگیری کند.
این مجموعه از آسیبپذیریها که MailSploit نامیده شدهاند توسط یک محقق امنیتی به نام Sabri Haddouche کشف شدهاند[۱] و بر روی Apple Mail،Mozilla Thunderbird، سفارشدهندههای پست الکترونیک مایکروسافت، Yahoo Mail ،ProtonMail و دیگر سفارشدهندههای پست الکترونیک تأثیرگذار هستند.
اگرچه بسیاری از این برنامههای کاربردی پست الکترونیک دارای مکانیسمهای ضد فریبندگی هستند، مانند DKIM و DMARC اما MailSploit از روش تجزیه رابطهای وب و سفارشدهندههای پست الکترونیک از header استفاده میکند[۲].
جعل کردن پستهای الکترونیک یک روش قدیمی است، اما بهخوبی کار میکند. این روش به هرکسی اجازه میدهد تا header های پست الکترونیک را تغییر داده و یک پست الکترونیک با یک آدرس فرستنده جعلی برای فریب گیرندگان ارسال کند و گیرندگان را گول بزند که آنها این پست الکترونیک را از یک شخص بهخصوص دریافت کردهاند.
در یک وبسایت اختصاصی[۳]، Haddouche توضیح میدهد که چگونه فقدان بررسی تابع ورودی توسط سفارشدهندههای پست الکترونیکِ آسیبپذیر میتواند منجر به یک حمله جعل پست الکترونیک شود بدون اینکه از هیچگونه بهرهبرداری در DMARC استفاده شود.
برای اثبات این حمله، Haddouche یک payload توسط رمزگذاری کاراکترهای non-ASCII در داخل headrهای پست الکترونیک میسازد که درنهایت بهطور موفقیتآمیز یک پست الکترونیک جعلی را از یک آدرس رسمی که متعلق به رئیسجمهور آمریکاست ارسال میکند.
Haddouche در گزارش خود میگوید: “با استفاده از ترکیبی از کاراکترهای کنترل مانند خطوط جدید یا null-byte، میتوان منجر به پنهان کردن یا حذف بخش دامنه پست الکترونیک اصلی شد.”
“ما تعداد زیادی از بدافزارها را که از طریق پستهای الکترونیک گسترش یافته بودند را مشاهده کردیم که از مکانیسمهای مهندسی اجتماعی برای متقاعد کردن کاربران برای باز کردن فایلهای ضمیمهشده غیر ایمن و یا کلیک بر روی لینکهای فیشینگ استفاده میکردند. افزایش توزیع باجگیر افزارها از طریق پست الکترونیک بهروشنی کارایی این مکانیسمها را اثبات میکند.”
علاوه بر جعل کردن، محققان دریافتند که بعضی از سفارشدهندههای پست الکترونیک شامل Hushmail، Open Mailbox، Spark و Airmal همچنین به آسیبپذیریهای XSS نیز آسیبپذیر هستند که ناشی از همین مشکل جعل پست الکترونیک است.
Haddouche این اشکال جعل پستهای الکترونیک را به ۳۳ سرویسدهنده مختلف گزارش کرد، که ۸ عدد از آنها قبل از افشای عمومی این مسئله این آسیبپذیری را در محصولات خود وصله کردهاند و ۱۲ عدد از آنها در حال برطرف کردن این مشکل هستند.
در اینجا شما میتوانید فهرستی از تمام پستهای الکترونیک و مشتریان وب که آسیبپذیر به حمله MailSploit هستند را مشاهده کنید[۴].
بااینحال، موزیلا و Opera این اشکال را یک مسئله جانبی سرور میدانند و هیچگونه وصلهای را برای آن منتشر نخواهند کرد. Mailbird بدون جواب دادن به این مشکل، ticket مربوطه را بسته است و ۱۲ سرویسدهنده دیگر نیز هنوز نظری در ارتباط با این آسیبپذیریها ندادهاند.
منابع
[۱] https://twitter.com/pwnsdx
[۲] https://youtu.be/hwjUROtXV5I
[۳] https://www.mailsploit.com/index
[۴]https://docs.google.com/spreadsheets/d/1jkb_ZybbAoUA43K902lL-sB7c1HMQ78-fhQ8nowJCQk/edit
[۵] https://thehackernews.com/2017/12/email-spoofing-client.html
(۱) anti-spoofing
ثبت ديدگاه