Pilve e-posti filtreerimise möödaviigurünnak töötab 80% ajast

Arvutiteadlased on avastanud populaarsetes ettevõtete pilvepõhistes e-posti rämpsposti filtreerimisteenustes šokeerivalt levinud valekonfiguratsiooni ja selle ärakasutamise. Tulemused näitavad, et organisatsioonid on meili teel levivatele küberohtudele palju avatumad, kui nad teavad.

Ettekandes, mida esitletakse peagi ACM Web 2024 konverents mais Singapuris märkis autori akadeemiline uurimisrühm, et selliste tarnijate nagu Proofpoint, Barracuda, Mimecast ja teiste laialdaselt kasutatavatest teenustest saab mööda minna vähemalt 80% nende uuritud suurematest domeenidest.

Filtreerimisteenustest saab mööda minna, kui e-posti hostimise pakkuja ei ole konfigureeritud vastu võtma ainult meili filtreerimisteenusest saabuvaid sõnumeid,“ selgitab Sumanth Rao, San Diego California ülikooli doktorant ja artikli juhtiv autor. pealkirjaga "Filtreerimata: pilvepõhiste e-posti filtreerimise möödasõitude mõõtmine. "

See võib tunduda ilmne, kuid filtrite seadistamine ettevõtte meilisüsteemiga koos töötama on keeruline. Möödasõidurünnak võib juhtuda filtreerimisserveri ja meiliserveri vahelise mittevastavuse tõttu, mis puudutab Google'i ja Microsofti meiliserverite reageerimist teadmata IP-aadressilt (nt rämpspostisaatjate poolt kasutatavalt) tulevale sõnumile.

Google'i serverid lükkavad sellise sõnumi tagasi selle esmasel vastuvõtmisel, samas kui Microsofti serverid lükkavad selle tagasi käsu „Andmed” ajal, st siis, kui sõnum on juba adressaadile edastatud. See mõjutab filtrite seadistamist.

Seda arvestades on panused kõrged andmepüügimeilid jäävad esmaseks valitud juurdepääsumehhanismiks küberkurjategijate jaoks.

"Meiliadministraatorid, kes ei konfigureeri oma sissetulevat e-kirja selle nõrkuse leevendamiseks õigesti, sarnanevad baaride omanikega, kes kasutavad peasissepääsu juures ID-de kontrollimiseks väljaviskajat, kuid lubavad külastajatel siseneda ka lukustamata ja jälgimata küljeuksest," ütleb Seth. Blank, Valimaili tehnoloogiajuht, e-posti turbemüüja.

Ettevõtte sisendkaustad on avatud andmepüügiks

Pärast läbivaatamist Saatja poliitika raamistik (SPF)-spetsiifilised konfiguratsioonid 673 .edu domeenile ja 928 .com domeenile, mis kasutasid kas Google'i või Microsofti meiliservereid koos kolmandate osapoolte rämpspostifiltritega, leidsid teadlased, et 88% Google'i-põhistest meilisüsteemidest jäeti mööda, samas kui 78 % Microsofti süsteemidest olid.

Nad märkisid, et pilvemüüjate kasutamisel on risk suurem, kuna möödaviigurünnak pole nii lihtne, kui nii filtreerimine kui ka meilide edastamine asuvad teadaolevatel ja usaldusväärsetel IP-aadressidel.

Dokumendis tuuakse välja kaks peamist põhjust nende kõrgete tõrkemäärade põhjuseks: esiteks on nii filtreerimis- kui ka meiliserveri õige seadistamise dokumentatsioon segane ja puudulik ning sageli ignoreeritakse või ei ole hästi mõistetav või kergesti jälgitav. Teiseks eksivad paljud ettevõtte e-posti haldurid, tagades sõnumite adressaatideni jõudmise, kartes kustutada kehtivad sõnumid, kui nad kehtestavad liiga range filtriprofiili. "See toob kaasa lubavad ja ebaturvalised konfiguratsioonid, " vastavalt paberile.

Autorid ei maininud, kuid oluline tegur on asjaolu, et kõigi kolme peamise e-posti turvaprotokolli – SPF, domeenipõhise sõnumi autentimise aruandluse ja vastavuse (DMARC laiendus) ja DomainKeys Identified Mail (DKIM) – on vajalikud rämpsposti tõhusaks peatamiseks. Aga see pole lihtne isegi asjatundjatele. Lisage see väljakutsele tagada, et kaks filtreerimis- ja e-kirjade edastamise pilvteenust suhtleksid õigesti, ja koordineerimine muutub äärmiselt keeruliseks. Algkäivitamiseks haldavad filtri- ja meiliserveri tooteid sageli suuremate ettevõtete kaks eraldi osakonda, mis toob kaasa veelgi suurema veavõimaluse.

"E-post, nagu paljud vanad Interneti-teenused, loodi lihtsa kasutusjuhtumi ümber, mis ei vasta nüüdisaegsetele nõudmistele," kirjutasid autorid.

Meilikonfiguratsiooni dokumentatsiooni viivitused, tekitavad turvalüngad

Uurijate sõnul on iga filtreerimismüüja esitatud dokumentide kvaliteet erinev. Dokumendis juhitakse tähelepanu sellele, et TrendMicro ja Proofpointi filtreerimistoodete juhised on eriti vigased ja võivad kergesti tekitada haavatavaid konfiguratsioone. Isegi need müüjad, kellel on parem dokumentatsioon, nagu Mimecast ja Barracuda, tekitavad endiselt palju valesid konfiguratsioone. 

Kuigi enamik müüjaid ei vastanud Dark Readingi kommentaaritaotlusele, ütleb Barracuda tooteturunduse juht Olesia Klevchuk: "Turvatööriistade õige seadistamine ja regulaarne "tervisekontroll" on oluline. Pakume tervisekontrolli juhendit, mida kliendid saavad kasutada selle ja muude väärkonfiguratsioonide tuvastamiseks.

Ta lisab: "enamik, kui mitte kõik, e-posti filtreerimise müüjad pakuvad tuge või professionaalseid teenuseid juurutamise ajal ja pärast seda, et tagada nende lahenduse toimimine nii, nagu peaks. Võimalike turvariskide vältimiseks peaksid organisatsioonid neid teenuseid perioodiliselt kasutama ja/või neisse investeerima.

Ettevõtte e-posti administraatoritel on mitu võimalust oma süsteemide tugevdamiseks ja nende möödaviigurünnakute vältimiseks. Üks paberi autorite soovitatud viis on määrata kogu meililiikluse ainsa lähtekohana filtreerimisserveri IP-aadress ja tagada, et ründaja ei saaks seda võltsida. 

"Organisatsioonid peavad konfigureerima oma meiliserveri nii, et need võtaksid vastu ainult filtreerimisteenuse e-kirju," kirjutasid autorid.

Microsofti dokumentatsioon sisaldab e-posti kaitsmise võimalusi ja soovitab määrata rea ​​parameetreid, et võimaldada see kaitse näiteks vahetusvõrgus juurutamisel. Teine eesmärk on tagada, et kõik SPF-, DKIM- ja DMARC-protokollid oleksid õigesti määratud kõigi domeenide ja alamdomeenide jaoks, mida ettevõte kasutab meililiikluse jaoks. Nagu mainitud, võib see olla väljakutse, eriti suurematele ettevõtetele või kohtadele, kes on aja jooksul omandanud palju domeene ja on unustanud nende kasutamise.

Lõpuks on veel üks lahendus, ütleb Valimail's Blank, et filtreerimisrakenduse kaasamine Autentitud vastuvõtja kett (RFC 8617) e-posti päised ning et sisemine kiht neid päiseid tarbiks ja usaldaks.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/cloud-security/cloud-email-filtering-bypass-attack