Dataforskere har avdekket en sjokkerende utbredt feilkonfigurasjon i populære skybaserte nettsøppelfiltreringstjenester for bedrifter, sammen med en utnyttelse for å dra nytte av den. Funnene avslører at organisasjoner er langt mer åpne for e-postbårne cybertrusler enn de vet.
I en artikkel som vil bli presentert på den kommende ACM Web 2024-konferanse i Singapore i mai, bemerket det forfatterskapende akademiske forskerteamet at tjenester i stor bruk fra leverandører som Proofpoint, Barracuda, Mimecast og andre kunne omgås i minst 80 % av hoveddomenene de undersøkte.
Filtreringstjenestene kan "omgås hvis leverandøren av e-postvertstjenester ikke er konfigurert til å bare godta meldinger som kommer fra e-postfiltreringstjenesten," forklarer Sumanth Rao, en doktorgradsstudent ved University of California i San Diego og hovedforfatter av papiret, har krav på "Ufiltrert: Måler skybaserte omgåelser av e-postfiltrering».
Det kan virke åpenbart, men det er vanskelig å sette filtrene til å fungere sammen med bedriftens e-postsystem. Bypass-angrepet kan skje på grunn av et misforhold mellom filtreringsserveren og e-postserveren, når det gjelder å matche hvordan Googles og Microsofts e-postservere reagerer på en melding som kommer fra en ukjent IP-adresse, for eksempel en som vil bli brukt av spammere.
Googles servere avviser en slik melding under den første mottakelsen, mens Microsofts servere avviser den under "Data"-kommandoen, som er når en melding allerede er levert til en mottaker. Dette påvirker hvordan filtrene skal settes opp.
Innsatsen er høy, gitt det phishing-e-poster forblir den første tilgangsmekanismen du velger for nettkriminelle.
"E-postadministratorer som ikke konfigurerer den innkommende posten riktig for å dempe denne svakheten, er beslektet med bareiere som distribuerer en dørvakt for å sjekke IDer ved hovedinngangen, men lar lånetakerne gå inn gjennom en ulåst, uovervåket sidedør også," sier Seth Blank, CTO for Valimail, en leverandør av e-postsikkerhet.
Enterprise-innbokser som er åpne for phishing
Etter å ha undersøkt Rammer for avsenderpolitikk (SPF)-spesifikke konfigurasjoner for 673 .edu-domener og 928 .com-domener som brukte enten Google- eller Microsofts e-postservere sammen med tredjeparts spamfiltre, fant forskerne at 88 % av Google-baserte e-postsystemer ble omgått, mens 78 % av Microsoft-systemer var.
Risikoen er høyere når du bruker skyleverandører, siden et bypass-angrep ikke er like enkelt når både filtrering og e-postlevering er plassert i lokaler på kjente og pålitelige IP-adresser, bemerket de.
Oppgaven gir to hovedårsaker til disse høye feilratene: For det første er dokumentasjonen for å konfigurere både filtrerings- og e-postserveren på riktig måte forvirrende og ufullstendig, og ofte ignorert eller ikke godt forstått eller lett å følge. For det andre feiler mange bedrifts-e-postbehandlere på siden med å sørge for at meldinger kommer til mottakerne, i frykt for å slette gyldige hvis de innfører en for streng filterprofil. "Dette fører til permissive og usikre konfigurasjoner," ifølge avisen.
Ikke nevnt av forfatterne, men en viktig faktor er det faktum at konfigurering av alle tre hovedprotokollene for e-postsikkerhet - SPF, domenebasert meldingsautentiseringsrapportering og samsvar (DMARC), og DomainKeys Identified Mail (DKIM) – er nødvendige for å være virkelig effektive for å stoppe spam. Men det er ikke lett, selv for eksperter. Legg det til utfordringen med å sørge for at de to skytjenestene for filtrering og e-postlevering kommuniserer riktig, og koordineringsarbeidet blir ekstremt komplekst. For å starte opp blir filter- og e-postserverproduktene ofte administrert av to separate avdelinger i større selskaper, noe som introduserer enda mer potensial for feil.
"E-post, som mange eldre Internett-tjenester, ble designet rundt et enkelt bruksområde som nå er i utakt med moderne krav," skrev forfatterne.
E-postkonfigurasjon Dokumentasjonsforsinkelser, gnister i sikkerhetshull
Dokumentasjonen levert av hver filtreringsleverandør varierer i kvalitet, ifølge forskerne. Papiret påpeker at instruksjonene på filtreringsproduktene fra TrendMicro og Proofpoint er spesielt feilutsatte og lett kan produsere sårbare konfigurasjoner. Selv de leverandørene som har bedre dokumentasjon, som Mimecast og Barracuda, produserer fortsatt høye forekomster av feilkonfigurasjon.
Mens de fleste leverandører ikke svarte på Dark Readings forespørsel om kommentar, sier Olesia Klevchuk, en produktmarkedsføringssjef i Barracuda, "Riktig oppsett og regelmessige "helsesjekker" av sikkerhetsverktøy er viktig. Vi tilbyr en helsesjekkveiledning som kunder kan bruke for å hjelpe dem med å identifisere denne og andre feilkonfigurasjoner.»
Hun legger til, "de fleste, om ikke alle, e-postfiltreringsleverandører vil tilby støtte eller profesjonelle tjenester under distribusjon og etterpå for å sikre at løsningen deres fungerer som den skal. Organisasjoner bør med jevne mellomrom dra nytte av og/eller investere i disse tjenestene for å unngå potensielle sikkerhetsrisikoer.»
E-postadministratorer for bedrifter har flere måter å styrke systemene sine på og forhindre at disse forbikjøringsangrepene skjer. En måte, foreslått av avisens forfattere, er å spesifisere filtreringsserverens IP-adresse som den eneste opprinnelsen til all e-posttrafikk, og å sikre at den ikke kan forfalskes av en angriper.
"Organisasjoner må konfigurere e-postserveren til å bare akseptere e-post fra filtreringstjenesten deres," skrev forfatterne.
Microsofts dokumentasjon inneholder alternativer for e-postforsvar og anbefaler å angi en rekke parametere for å aktivere denne beskyttelsen for utveksling på nett, for eksempel. En annen er å sikre at alle SPF-, DKIM- og DMARC-protokoller er korrekt spesifisert for alle domener og underdomener som brukes av en bedrift for e-posttrafikk. Som nevnt kan det være en utfordring, spesielt for større selskaper eller steder som har skaffet seg mange domener over tid og har glemt bruken.
Til slutt, en annen løsning, sier Valimails Blank, "er at filtreringsapplikasjonen skal inkludere Autentisert mottakerkjede (RFC 8617) e-posthoder, og for at det indre laget skal konsumere og stole på disse overskriftene.»
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/cloud-security/cloud-email-filtering-bypass-attack
- :er
- :ikke
- $OPP
- 2024
- 7
- a
- Om oss
- akademisk
- akademisk forskning
- Aksepterer
- adgang
- Ifølge
- ervervet
- legge til
- adresse
- adresser
- Legger
- administratorer
- Fordel
- Etter
- beslektet
- Alle
- tillate
- langs
- allerede
- an
- og
- En annen
- Søknad
- ER
- rundt
- AS
- At
- angripe
- angriper
- Angrep
- Autentisering
- forfatter
- forfatter
- forfattere
- unngå
- Bar
- Barracuda
- BE
- fordi
- blir
- Bedre
- mellom
- både
- men
- by
- bypass
- california
- CAN
- saken
- kjede
- utfordre
- sjekk
- Sjekker
- Cloud
- skytjenester
- COM
- kommer
- kommentere
- kommunisere
- Selskaper
- komplekse
- Konfigurasjon
- konfigurert
- konfigurering
- forvirrende
- forbruke
- samordning
- Bedriftens
- Corporations
- riktig
- kunne
- CTO
- Kunder
- cyber
- nettkriminelle
- mørk
- Mørk lesning
- dato
- Forsvar
- levert
- levering
- krav
- avdelinger
- utplassere
- distribusjon
- designet
- gJORDE
- Diego
- dokumentasjon
- gjør
- domener
- Don
- Av
- under
- hver enkelt
- lett
- lett
- Effektiv
- innsats
- enten
- emalje
- e-postsikkerhet
- e-post
- muliggjøre
- sikre
- Enter
- Enterprise
- Med tittelen
- feil
- Selv
- undersøke
- eksempel
- utveksling
- forklarer
- Exploit
- ekstremt
- Faktisk
- faktor
- Failure
- langt
- frykt
- filtrere
- filtrering
- filtre
- funn
- Først
- fulgt
- Til
- glemt
- funnet
- fra
- hull
- GitHub
- gitt
- oppgradere
- veilede
- skje
- Skjer
- Ha
- overskrifter
- Helse
- hjelpe
- Høy
- høyere
- Hosting
- Hvordan
- HTTPS
- identifisert
- identifisere
- ids
- if
- viktig
- in
- inkludere
- innledende
- indre
- usikker
- Institute
- instruksjoner
- Internet
- innføre
- Investere
- IP
- IP-adresse
- IP-adresser
- er n
- IT
- DET ER
- Vet
- kjent
- større
- lag
- Lays
- føre
- Fører
- minst
- Legacy
- i likhet med
- Hoved
- større
- Making
- fikk til
- leder
- Ledere
- mange
- Marketing
- matchende
- Kan..
- måling
- mekanisme
- nevnt
- melding
- meldinger
- Microsoft
- kunne
- Minske
- Moderne
- mer
- mest
- Trenger
- nødvendig
- bemerket
- nå
- mange
- Åpenbare
- of
- tilby
- Tilbud
- ofte
- on
- ONE
- seg
- på nett
- bare
- åpen
- or
- organisasjoner
- opprinnelse
- Annen
- andre
- ut
- enn
- eiere
- Papir
- parametere
- spesielt
- phishing
- steder
- plato
- Platon Data Intelligence
- PlatonData
- poeng
- politikk
- Populær
- potensiell
- presentert
- utbredt
- forebygge
- produsere
- Produkt
- Produkter
- profesjonell
- Profil
- ordentlig
- riktig
- beskyttelse
- protokoller
- gi
- forutsatt
- leverandør
- kvalitet
- priser
- Reager
- Lesning
- grunner
- mottakere
- anbefaler
- regelmessig
- forbli
- Rapportering
- anmode
- forskning
- forskere
- Svare
- avsløre
- Risiko
- risikoer
- s
- San
- San Diego
- sier
- forskere
- Sekund
- sikkerhet
- sikkerhetsrisiko
- synes
- separat
- Serien
- server
- Servere
- tjeneste
- Tjenester
- sett
- innstilling
- oppsett
- flere
- bør
- side
- Enkelt
- siden
- Singapore
- løsning
- spam
- spesifisert
- innsatser
- Trinn
- Still
- stoppe
- Forsterke
- Streng
- Student
- slik
- støtte
- sikker
- system
- Systemer
- Ta
- ta
- tandem
- lag
- vilkår
- enn
- Det
- De
- deres
- Dem
- Disse
- de
- tredjeparts
- denne
- De
- trusler
- tre
- Gjennom
- tid
- til
- også
- verktøy
- trafikk
- virkelig
- Stol
- klarert
- to
- avdekket
- forstås
- universitet
- University of California
- ukjent
- ulåst
- kommende
- bruke
- bruk sak
- brukt
- ved hjelp av
- gyldig
- variere
- leverandør
- leverandører
- Sårbar
- var
- Vei..
- måter
- we
- svakhet
- web
- VI VIL
- var
- når
- hvilken
- mens
- HVEM
- bred
- vil
- med
- innenfor
- Arbeid
- virker
- ville
- skrev
- ennå
- zephyrnet
