L'attaque de contournement du filtrage des e-mails dans le cloud fonctionne 80 % du temps

Les informaticiens ont découvert une mauvaise configuration extrêmement répandue dans les services cloud de filtrage du courrier indésirable des entreprises, ainsi qu'un exploit permettant d'en tirer parti. Les résultats révèlent que les organisations sont bien plus ouvertes aux cybermenaces véhiculées par courrier électronique qu’elles ne le pensent.

Dans un article qui sera présenté lors du prochain Conférence ACM Web 2024 à Singapour en mai, l'équipe de recherche universitaire a noté que les services largement utilisés par des fournisseurs tels que Proofpoint, Barracuda, Mimecast et d'autres pourraient être contournés dans au moins 80 % des principaux domaines examinés.

Les services de filtrage peuvent être « contournés si le fournisseur d'hébergement de messagerie n'est pas configuré pour accepter uniquement les messages provenant du service de filtrage de messagerie », explique Sumanth Rao, doctorante à l'Université de Californie à San Diego et auteur principal de l'article : intitulé "Non filtré : mesurer les contournements du filtrage des e-mails dans le cloud. »

Cela peut sembler évident, mais configurer les filtres pour qu'ils fonctionnent en tandem avec le système de messagerie de l'entreprise est délicat. L'attaque de contournement peut se produire en raison d'une inadéquation entre le serveur de filtrage et le serveur de messagerie, en termes de correspondance entre la façon dont les serveurs de messagerie de Google et Microsoft réagissent à un message provenant d'une adresse IP inconnue, telle que celle qui serait utilisée par les spammeurs.

Les serveurs de Google rejettent un tel message lors de sa réception initiale, tandis que les serveurs de Microsoft le rejettent lors de la commande « Data », c'est-à-dire lorsqu'un message est déjà remis à un destinataire. Cela affecte la façon dont les filtres doivent être configurés.

Les enjeux sont élevés, étant donné que les e-mails de phishing restent le mécanisme d'accès initial de choix pour les cybercriminels.

"Les administrateurs de messagerie qui ne configurent pas correctement leur courrier entrant pour atténuer cette faiblesse s'apparentent aux propriétaires de bar qui déploient un videur pour vérifier les pièces d'identité à l'entrée principale, mais autorisent également les clients à entrer par une porte latérale déverrouillée et non surveillée", explique Seth. Blank, CTO de Valimail, un fournisseur de sécurité de messagerie.

Les boîtes de réception des entreprises sont largement ouvertes au phishing

Après avoir examiné Cadre de politique de l'expéditeur (SPF) pour 673 domaines .edu et 928 domaines .com qui utilisaient des serveurs de messagerie Google ou Microsoft ainsi que des filtres anti-spam tiers, les chercheurs ont constaté que 88 % des systèmes de messagerie basés sur Google étaient contournés, tandis que 78 % des systèmes Microsoft l'étaient.

Le risque est plus élevé lorsqu'on utilise des fournisseurs de cloud, car une attaque de contournement n'est pas aussi simple lorsque le filtrage et la livraison des e-mails sont hébergés sur site à des adresses IP connues et fiables, ont-ils noté.

Le document avance deux raisons principales pour expliquer ces taux d'échec élevés : premièrement, la documentation permettant de configurer correctement les serveurs de filtrage et de messagerie est confuse et incomplète, et souvent ignorée ou mal comprise ou facile à suivre. Deuxièmement, de nombreux gestionnaires de messagerie d'entreprise privilégient la garantie que les messages parviennent aux destinataires, de peur de supprimer les messages valides s'ils instaurent un profil de filtrage trop strict. "Cela conduit à des configurations permissives et non sécurisées", selon le document.

Non mentionné par les auteurs, mais un facteur important, est le fait que la configuration des trois principaux protocoles de sécurité de messagerie – SPF, Domain-based Message Authentication Reporting and Conformance (DMARC) et DomainKeys Identified Mail (DKIM) – sont nécessaires pour être vraiment efficaces pour arrêter le spam. Mais ça ce n'est pas facile, même pour les experts. Ajoutez à cela le défi de s’assurer que les deux services cloud de filtrage et de livraison des e-mails communiquent correctement, et l’effort de coordination devient extrêmement complexe. Pour commencer, les produits de filtrage et de serveur de messagerie sont souvent gérés par deux départements distincts au sein des grandes entreprises, ce qui introduit encore plus de risques d'erreurs.

"Le courrier électronique, comme de nombreux services Internet existants, a été conçu autour d'un cas d'utilisation simple qui est désormais en décalage avec les exigences modernes", écrivent les auteurs.

Retards dans la documentation de configuration des e-mails, générant des failles de sécurité

La qualité de la documentation fournie par chaque fournisseur de filtrage varie, selon les chercheurs. Le document souligne que les instructions sur les produits de filtrage de TrendMicro et Proofpoint sont particulièrement sujettes aux erreurs et peuvent facilement produire des configurations vulnérables. Même les fournisseurs disposant d'une meilleure documentation, tels que Mimecast et Barracuda, produisent toujours des taux élevés de mauvaises configurations. 

Alors que la plupart des fournisseurs n'ont pas répondu à la demande de commentaires de Dark Reading, Olesia Klevchuk, responsable du marketing produit chez Barracuda, déclare : « Une configuration appropriée et des « contrôles de santé » réguliers des outils de sécurité sont importants. Nous fournissons un guide de contrôle de santé que les clients peuvent utiliser pour les aider à identifier cette configuration ainsi que d’autres erreurs.

Elle ajoute : « la plupart, sinon la totalité, des fournisseurs de filtrage de courrier électronique proposeront une assistance ou des services professionnels pendant et après le déploiement pour garantir que leur solution fonctionne comme il se doit. Les organisations devraient périodiquement profiter et/ou investir dans ces services pour éviter les risques potentiels de sécurité.

Les administrateurs de messagerie d'entreprise disposent de plusieurs moyens pour renforcer leurs systèmes et empêcher ces attaques de contournement. Une solution suggérée par les auteurs de l'article consiste à spécifier l'adresse IP du serveur de filtrage comme seule origine de tout le trafic de courrier électronique et à garantir qu'elle ne peut pas être usurpée par un attaquant. 

« Les organisations doivent configurer leur serveur de messagerie pour qu'il n'accepte que les e-mails provenant de leur service de filtrage », écrivent les auteurs.

La documentation de Microsoft présente les options de défense du courrier électronique et recommande de définir une série de paramètres pour activer cette protection pour le déploiement d'exchange en ligne, par exemple. Une autre solution consiste à garantir que tous les protocoles SPF, DKIM et DMARC sont correctement spécifiés pour tous les domaines et sous-domaines utilisés par une entreprise pour le trafic de messagerie. Comme mentionné, cela pourrait être un défi, en particulier pour les grandes entreprises ou les lieux qui ont acquis de nombreux domaines au fil du temps et ont oublié leur utilisation.

Enfin, une autre solution, explique Blank de Valimail, « est que l'application de filtrage inclut Chaîne de réception authentifiée (RFC 8617) les en-têtes de courrier électronique, et pour que la couche interne consomme et fasse confiance à ces en-têtes.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/cloud-security/cloud-email-filtering-bypass-attack