Atak obejściowy filtrowania poczty e-mail w chmurze działa w 80% przypadków

Informatycy odkryli szokująco powszechną błędną konfigurację popularnych korporacyjnych usług filtrowania spamu w chmurze w chmurze, a także exploit umożliwiający jej wykorzystanie. Wyniki pokazują, że organizacje są znacznie bardziej otwarte na zagrożenia cybernetyczne przenoszone przez pocztę elektroniczną, niż im się wydaje.

W artykule, który zostanie zaprezentowany w najbliższym czasie Konferencja ACM Web 2024 w maju w Singapurze autorski zespół badawczy zauważył, że powszechnie używane usługi dostawców takich jak Proofpoint, Barracuda, Mimecast i innych można pominąć w co najmniej 80% głównych zbadanych przez nich domen.

Usługi filtrowania można „ominąć, jeśli dostawca hostingu poczty e-mail nie jest skonfigurowany tak, aby akceptował tylko wiadomości przychodzące z usługi filtrowania poczty e-mail” – wyjaśnia Sumanth Rao, doktorantka na Uniwersytecie Kalifornijskim w San Diego i główna autorka artykułu: zatytułowany "Bez filtra: pomiar obejść filtrowania poczty e-mail w chmurze".

Może się to wydawać oczywiste, ale ustawienie filtrów tak, aby współpracowały z korporacyjnym systemem poczty e-mail, jest trudne. Atak omijający może nastąpić na skutek niedopasowania serwera filtrującego i serwera poczty e-mail pod względem dopasowania reakcji serwerów poczty e-mail Google i Microsoft na wiadomość przychodzącą z nieznanego adresu IP, np. takiego, który mógłby zostać wykorzystany przez spamerów.

Serwery Google odrzucają taką wiadomość w momencie jej początkowego odbioru, natomiast serwery Microsoftu odrzucają ją podczas wykonywania polecenia „Dane”, czyli wtedy, gdy wiadomość jest już dostarczona do odbiorcy. Ma to wpływ na sposób ustawienia filtrów.

Biorąc to pod uwagę, stawka jest wysoka Wiadomości phishingowe pozostają preferowanym mechanizmem dostępu początkowego dla cyberprzestępców.

„Administratorzy poczty, którzy nie konfigurują odpowiednio swojej poczty przychodzącej, aby zaradzić tej słabości, są podobni do właścicieli barów, którzy zatrudniają bramkarza do sprawdzania tożsamości przy głównym wejściu, ale pozwalają klientom wchodzić również przez otwarte, niemonitorowane boczne drzwi” – ​​mówi Seth Blank, dyrektor techniczny Valimail, dostawcy zabezpieczeń poczty e-mail.

Skrzynki odbiorcze w przedsiębiorstwach są szeroko otwarte na phishing

Po zbadaniu Ramy polityki dla nadawców (SPF) dla 673 domen .edu i 928 domen .com, które korzystały z serwerów poczty e-mail Google lub Microsoft wraz z filtrami spamu innych firm, badacze odkryli, że 88% systemów poczty e-mail opartych na Google zostało pominiętych, a 78 % systemów Microsoft było.

Zauważyli, że ryzyko jest większe w przypadku korzystania z usług dostawców usług w chmurze, ponieważ atak obejściowy nie jest tak łatwy, gdy zarówno filtrowanie, jak i dostarczanie poczty e-mail odbywa się lokalnie pod znanymi i zaufanymi adresami IP.

W artykule przedstawiono dwie główne przyczyny tak wysokiego wskaźnika awaryjności: Po pierwsze, dokumentacja dotycząca prawidłowej konfiguracji zarówno serwera filtrującego, jak i serwera poczty e-mail jest zagmatwana i niekompletna, a także często ignorowana lub słabo rozumiana lub łatwa do przestrzegania. Po drugie, wielu korporacyjnych menedżerów poczty e-mail popełnia błąd, dbając o to, aby wiadomości dotarły do ​​odbiorców, w obawie, że prawidłowe zostaną usunięte, jeśli ustanowią zbyt rygorystyczny profil filtra. „Prowadzi to do liberalnych i niebezpiecznych konfiguracji” – czytamy w artykule.

Nie wspomniani przez autorów, ale ważnym czynnikiem jest fakt, że konfiguracja wszystkich trzech głównych protokołów bezpieczeństwa poczty elektronicznej — SPF, Domain-Based Message Authentication Reporting i Conformance (DMARC) i DomainKeys Identified Mail (DKIM) — są potrzebne, aby naprawdę skutecznie powstrzymywać spam. Ale to nie jest łatwe, nawet dla ekspertów. Jeśli dodać do tego wyzwanie polegające na zapewnieniu prawidłowej komunikacji obu usług w chmurze, służących do filtrowania i dostarczania wiadomości e-mail, koordynacja stanie się niezwykle złożona. Na początek produkty filtrujące i serwery poczty e-mail są często zarządzane przez dwa oddzielne działy w większych korporacjach, co stwarza jeszcze większe ryzyko błędów.

„Poczta e-mail, podobnie jak wiele starszych usług internetowych, została zaprojektowana w oparciu o prosty przypadek użycia, który obecnie nie nadąża za współczesnymi wymaganiami” – napisali autorzy.

Opóźnienia w dokumentacji konfiguracji poczty e-mail, powodujące luki w zabezpieczeniach

Zdaniem badaczy dokumentacja dostarczana przez każdego dostawcę filtrów różni się jakością. W artykule wskazano, że instrukcje dotyczące produktów filtrujących firm TrendMicro i Proofpoint są szczególnie podatne na błędy i mogą łatwo stworzyć podatne konfiguracje. Nawet ci dostawcy, którzy mają lepszą dokumentację, jak Mimecast i Barracuda, nadal generują wysoki odsetek błędnych konfiguracji. 

Chociaż większość dostawców nie odpowiedziała na prośbę Dark Reading o komentarz, Olesia Klevchuk, menedżer ds. marketingu produktów w firmie Barracuda, mówi: „Ważna jest prawidłowa konfiguracja i regularne „kontrole stanu” narzędzi bezpieczeństwa. Udostępniamy przewodnik dotyczący sprawdzania stanu, z którego klienci mogą skorzystać, aby pomóc im zidentyfikować tę i inne błędne konfiguracje.

Dodaje: „Większość, jeśli nie wszyscy, dostawców usług filtrowania poczty e-mail oferuje pomoc techniczną lub profesjonalne usługi podczas wdrożenia i po jego zakończeniu, aby zapewnić, że ich rozwiązanie działa tak, jak powinno. Organizacje powinny okresowo korzystać z tych usług i/lub inwestować w te usługi, aby uniknąć potencjalnych zagrożeń bezpieczeństwa.

Administratorzy poczty e-mail w przedsiębiorstwie mają kilka sposobów na wzmocnienie swoich systemów i zapobieganie atakom omijającym. Jednym ze sposobów, sugerowanym przez autorów artykułu, jest określenie adresu IP serwera filtrującego jako jedynego źródła całego ruchu e-mailowego i zapewnienie, że osoba atakująca nie będzie mogła go sfałszować. 

„Organizacje muszą skonfigurować swój serwer poczty e-mail tak, aby akceptował wyłącznie wiadomości e-mail z usługi filtrowania” – napisali autorzy.

Dokumentacja Microsoftu opisuje opcje ochrony poczty e-mail i zaleca ustawienie szeregu parametrów, aby włączyć tę ochronę na przykład w przypadku wdrażania giełdy online. Innym jest upewnienie się, że wszystkie protokoły SPF, DKIM i DMARC są poprawnie określone dla wszystkich domen i subdomen używanych przez przedsiębiorstwo do ruchu pocztowego. Jak wspomniano, może to stanowić wyzwanie, szczególnie dla większych firm lub miejsc, które z biegiem czasu nabyły wiele domen i zapomniały o ich użytkowaniu.

Wreszcie, innym rozwiązaniem, mówi Blank z Valimail, „polega na włączeniu aplikacji filtrującej Uwierzytelniony łańcuch odbiorców (RFC 8617) nagłówki wiadomości e-mail, a warstwa wewnętrzna będzie korzystać z tych nagłówków i ufać im.”

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/cloud-security/cloud-email-filtering-bypass-attack