Der Cloud-E-Mail-Filter-Bypass-Angriff funktioniert in 80 % der Fälle

Informatiker haben eine erschreckend weit verbreitete Fehlkonfiguration in beliebten Cloud-basierten E-Mail-Spam-Filterdiensten für Unternehmen sowie einen Exploit entdeckt, mit dem sich diese Fehlkonfiguration ausnutzen lässt. Die Ergebnisse zeigen, dass Unternehmen weitaus anfälliger für Cyber-Bedrohungen per E-Mail sind, als ihnen bewusst ist.

In einem Papier, das auf der kommenden vorgestellt wird ACM Web 2024-Konferenz Das wissenschaftliche Forschungsteam, das im Mai in Singapur stattfand, stellte fest, dass weit verbreitete Dienste von Anbietern wie Proofpoint, Barracuda, Mimecast und anderen in mindestens 80 % der von ihnen untersuchten wichtigen Domänen umgangen werden könnten.

Die Filterdienste können „umgangen werden, wenn der E-Mail-Hosting-Anbieter nicht so konfiguriert ist, dass er nur Nachrichten akzeptiert, die vom E-Mail-Filterdienst eingehen“, erklärt Sumanth Rao, Doktorand an der University of California in San Diego und Hauptautor des Artikels. berechtigt "Ungefiltert: Messung cloudbasierter E-Mail-Filterumgehungen"

Das mag offensichtlich erscheinen, aber es ist schwierig, die Filter so einzustellen, dass sie mit dem E-Mail-System des Unternehmens zusammenarbeiten. Der Bypass-Angriff kann aufgrund einer Nichtübereinstimmung zwischen dem Filterserver und dem E-Mail-Server erfolgen, und zwar hinsichtlich der Reaktion der E-Mail-Server von Google und Microsoft auf eine Nachricht, die von einer unbekannten IP-Adresse stammt, beispielsweise einer, die von Spammern verwendet würde.

Die Server von Google lehnen eine solche Nachricht beim ersten Empfang ab, während die Server von Microsoft sie beim Befehl „Daten“ ablehnen, also wenn eine Nachricht bereits an einen Empfänger zugestellt wurde. Dies wirkt sich darauf aus, wie die Filter eingerichtet werden sollen.

Angesichts dessen steht viel auf dem Spiel Phishing-E-Mails bleiben der erste Zugriffsmechanismus der Wahl für Cyberkriminelle.

„E-Mail-Administratoren, die ihre eingehenden E-Mails nicht richtig konfigurieren, um diese Schwachstelle abzumildern, ähneln Barbesitzern, die einen Türsteher einsetzen, um am Haupteingang ihre Ausweise zu überprüfen, den Gästen aber auch den Zutritt durch eine unverschlossene, nicht überwachte Seitentür ermöglichen“, sagt Seth Blank, CTO von Valimail, einem Anbieter von E-Mail-Sicherheit.

Unternehmens-Posteingänge weit offen für Phishing

Nach der Untersuchung Sender-Richtlinien-Framework (SPF)-spezifische Konfigurationen für 673 .edu-Domains und 928 .com-Domains, die entweder Google- oder Microsoft-E-Mail-Server zusammen mit Spamfiltern von Drittanbietern verwendeten, stellten die Forscher fest, dass 88 % der Google-basierten E-Mail-Systeme umgangen wurden, während 78 % der E-Mail-Systeme von Google umgangen wurden % der Microsoft-Systeme waren.

Das Risiko sei bei der Nutzung von Cloud-Anbietern höher, da ein Umgehungsangriff nicht so einfach sei, wenn sowohl die Filterung als auch die E-Mail-Zustellung vor Ort unter bekannten und vertrauenswürdigen IP-Adressen erfolgten, stellten sie fest.

Das Papier nennt zwei Hauptgründe für diese hohen Fehlerraten: Erstens ist die Dokumentation zur ordnungsgemäßen Einrichtung sowohl der Filter- als auch der E-Mail-Server verwirrend und unvollständig und wird oft ignoriert oder nicht gut verstanden oder leicht befolgt. Zweitens stellen viele E-Mail-Manager in Unternehmen fälschlicherweise sicher, dass Nachrichten beim Empfänger ankommen, weil sie befürchten, gültige E-Mails zu löschen, wenn sie ein zu strenges Filterprofil einrichten. „Dies führt zu freizügigen und unsicheren Konfigurationen“, heißt es in dem Papier.

Von den Autoren nicht erwähnt, aber ein wichtiger Faktor ist die Tatsache, dass die Konfiguration aller drei wichtigsten E-Mail-Sicherheitsprotokolle – SPF, Domain-based Message Authentication Reporting und Conformance (DMarc) und DomainKeys Identified Mail (DKIM) – sind erforderlich, um Spam wirklich effektiv zu stoppen. Aber das ist selbst für Experten nicht einfach. Hinzu kommt die Herausforderung, sicherzustellen, dass die beiden Cloud-Dienste für die Filterung und E-Mail-Zustellung ordnungsgemäß kommunizieren, und der Koordinationsaufwand wird äußerst komplex. Hinzu kommt, dass die Filter- und E-Mail-Server-Produkte in größeren Unternehmen oft von zwei separaten Abteilungen verwaltet werden, was noch mehr Fehlerpotenzial birgt.

„E-Mail wurde, wie viele ältere Internetdienste, um einen einfachen Anwendungsfall herum entwickelt, der heute nicht mehr den modernen Anforderungen entspricht“, schreiben die Autoren.

Verzögerungen bei der Dokumentation der E-Mail-Konfiguration, wodurch Sicherheitslücken entstehen

Den Forschern zufolge ist die Qualität der von den einzelnen Filteranbietern bereitgestellten Dokumentation unterschiedlich. Das Papier weist darauf hin, dass die Anleitungen zu den Filterprodukten von TrendMicro und Proofpoint besonders fehleranfällig sind und leicht zu anfälligen Konfigurationen führen können. Selbst Anbieter mit besserer Dokumentation wie Mimecast und Barracuda weisen immer noch hohe Fehlkonfigurationsraten auf. 

Während die meisten Anbieter nicht auf die Bitte von Dark Reading um einen Kommentar reagierten, sagt Olesia Klevchuk, Produktmarketingmanagerin bei Barracuda: „Eine ordnungsgemäße Einrichtung und regelmäßige ‚Gesundheitsprüfungen‘ der Sicherheitstools sind wichtig.“ Wir stellen einen Health-Check-Leitfaden zur Verfügung, den Kunden nutzen können, um diese und andere Fehlkonfigurationen zu erkennen.“

Sie fügt hinzu: „Die meisten, wenn nicht alle Anbieter von E-Mail-Filtern bieten während und nach der Bereitstellung Support oder professionelle Dienstleistungen an, um sicherzustellen, dass ihre Lösung ordnungsgemäß funktioniert. Unternehmen sollten diese Dienste regelmäßig nutzen und/oder in sie investieren, um potenzielle Sicherheitsrisiken zu vermeiden.“

E-Mail-Administratoren in Unternehmen haben mehrere Möglichkeiten, ihre Systeme zu stärken und diese Bypass-Angriffe zu verhindern. Eine von den Autoren des Papiers vorgeschlagene Möglichkeit besteht darin, die IP-Adresse des Filterservers als alleinigen Ursprung des gesamten E-Mail-Verkehrs anzugeben und sicherzustellen, dass sie nicht von einem Angreifer gefälscht werden kann. 

„Organisationen müssen ihren E-Mail-Server so konfigurieren, dass er nur E-Mails von ihrem Filterdienst akzeptiert“, schreiben die Autoren.

In der Dokumentation von Microsoft werden E-Mail-Verteidigungsoptionen beschrieben und empfiehlt, eine Reihe von Parametern festzulegen, um diesen Schutz beispielsweise für die Online-Bereitstellung von Exchange zu aktivieren. Eine weitere besteht darin, sicherzustellen, dass alle SPF-, DKIM- und DMARC-Protokolle für alle Domänen und Subdomänen, die ein Unternehmen für den E-Mail-Verkehr verwendet, korrekt angegeben sind. Wie bereits erwähnt, könnte dies eine Herausforderung darstellen, insbesondere für größere Unternehmen oder Orte, die im Laufe der Zeit zahlreiche Domains erworben und deren Nutzung vergessen haben.

Schließlich besteht eine weitere Lösung, sagt Blank von Valimail, darin, „die Filteranwendung einzubinden.“ Authentifizierte Empfängerkette (RFC 8617) E-Mail-Header und dass die innere Schicht diese Header konsumiert und ihnen vertraut.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/cloud-security/cloud-email-filtering-bypass-attack