Атака обхода облачной фильтрации электронной почты работает в 80% случаев

Ученые-компьютерщики обнаружили шокирующе распространенную неправильную конфигурацию в популярных корпоративных облачных службах фильтрации спама в электронной почте, а также эксплойт, позволяющий воспользоваться ею. Результаты показывают, что организации гораздо более подвержены киберугрозам, распространяемым по электронной почте, чем они думают.

В документе, который будет представлен на предстоящем Конференция ACM Web 2024 В мае в Сингапуре исследовательская группа авторов отметила, что широко используемые сервисы таких поставщиков, как Proofpoint, Barracuda, Mimecast и других, можно обойти как минимум в 80% основных доменов, которые они исследовали.

Службы фильтрации можно «обойти, если поставщик услуг хостинга электронной почты не настроен принимать только сообщения, поступающие от службы фильтрации электронной почты», — объясняет Сумант Рао, аспирант Калифорнийского университета в Сан-Диего и ведущий автор статьи. уполномоченный "Без фильтрации: измерение обходов облачной фильтрации электронной почты".

Это может показаться очевидным, но настроить фильтры для работы в тандеме с корпоративной системой электронной почты непросто. Атака обхода может произойти из-за несоответствия между сервером фильтрации и сервером электронной почты с точки зрения соответствия того, как серверы электронной почты Google и Microsoft реагируют на сообщение, поступающее с неизвестного IP-адреса, например того, который может использоваться спамерами.

Серверы Google отклоняют такое сообщение во время его первоначального получения, а серверы Microsoft отклоняют его во время команды «Данные», то есть когда сообщение уже доставлено получателю. Это влияет на то, как следует настраивать фильтры.

Ставки высоки, учитывая, что фишинговые электронные письма остаются предпочтительным механизмом первоначального доступа для киберпреступников.

«Администраторы почты, которые не настраивают должным образом свою входящую почту, чтобы смягчить эту слабость, сродни владельцам баров, которые устанавливают вышибалу для проверки удостоверений личности у главного входа, но также позволяют посетителям входить через незапертую, неконтролируемую боковую дверь», — говорит Сет. Бланк, технический директор компании Valimail, поставщика средств защиты электронной почты.

Корпоративные почтовые ящики широко открыты для фишинга

После изучения Основы политики отправителя (SPF) для 673 доменов .edu и 928 доменов .com, которые использовали почтовые серверы Google или Microsoft вместе со сторонними спам-фильтрами, исследователи обнаружили, что 88% систем электронной почты на базе Google были обойдены, а 78 % систем Microsoft были.

Риск выше при использовании поставщиков облачных услуг, поскольку обойти атаку не так просто, когда и фильтрация, и доставка электронной почты выполняются локально по известным и надежным IP-адресам, отметили они.

В документе предлагаются две основные причины такого высокого уровня отказов: во-первых, документация по правильной настройке серверов фильтрации и электронной почты запутанна и неполна, ее часто игнорируют, плохо понимают или легко отслеживают. Во-вторых, многие корпоративные менеджеры электронной почты допускают ошибку, гарантируя, что сообщения дойдут до получателей, опасаясь удаления действительных сообщений, если они установят слишком строгий профиль фильтра. «Это приводит к вседозволенным и небезопасным конфигурациям», — говорится в документе.

Авторами не упоминается, но важным фактором является тот факт, что необходимо настроить все три основных протокола безопасности электронной почты — SPF, отчеты об аутентификации сообщений на основе домена и соответствие (DMARC) и DomainKeys Identified Mail (DKIM) — необходимы для действительно эффективной борьбы со спамом. Но затем непросто даже для экспертов. Добавьте это к проблеме обеспечения правильного взаимодействия двух облачных сервисов для фильтрации и доставки электронной почты, и усилия по координации станут чрезвычайно сложными. Кроме того, продукты фильтров и серверов электронной почты часто управляются двумя отдельными отделами в крупных корпорациях, что увеличивает вероятность ошибок.

«Электронная почта, как и многие устаревшие интернет-сервисы, была разработана для простого варианта использования, который сейчас не соответствует современным требованиям», — пишут авторы.

Задержки в документации по настройке электронной почты, порождающие бреши в безопасности

По мнению исследователей, документация, предоставляемая каждым поставщиком фильтров, различается по качеству. В документе отмечается, что инструкции по продуктам фильтрации от TrendMicro и Proofpoint особенно подвержены ошибкам и могут легко создавать уязвимые конфигурации. Даже те поставщики, которые имеют более качественную документацию, такие как Mimecast и Barracuda, по-прежнему демонстрируют высокий уровень неправильной конфигурации. 

Хотя большинство поставщиков не ответили на запрос Dark Reading о комментариях, Олеся Клевчук, менеджер по маркетингу продуктов Barracuda, говорит: «Правильная настройка и регулярные проверки работоспособности инструментов безопасности очень важны. Мы предоставляем руководство по проверке работоспособности, которое клиенты могут использовать, чтобы помочь им выявить эту и другие ошибки конфигурации».

Она добавляет: «Большинство, если не все, поставщики систем фильтрации электронной почты предложат поддержку или профессиональные услуги во время развертывания и после него, чтобы гарантировать, что их решение работает должным образом. Организациям следует периодически пользоваться этими услугами и/или инвестировать в них, чтобы избежать потенциальных рисков безопасности».

У администраторов корпоративной электронной почты есть несколько способов усилить свои системы и предотвратить обходные атаки. Один из способов, предложенный авторами статьи, — указать IP-адрес фильтрующего сервера в качестве единственного источника всего электронного трафика и гарантировать, что злоумышленник не сможет его подделать. 

«Организациям необходимо настроить свой почтовый сервер так, чтобы он принимал электронную почту только от своей службы фильтрации», — пишут авторы.

В документации Microsoft излагаются варианты защиты электронной почты. и рекомендует установить ряд параметров, чтобы включить эту защиту, например, для онлайн-развертывания Exchange. Другой вариант — убедиться, что все протоколы SPF, DKIM и DMARC правильно указаны для всех доменов и поддоменов, используемых предприятием для трафика электронной почты. Как уже упоминалось, это может быть проблемой, особенно для крупных компаний или мест, которые со временем приобрели множество доменов и забыли об их использовании.

Наконец, еще одно решение, по словам Бланка из Valimail, «заключается в том, чтобы приложение фильтрации включало в себя Аутентифицированная цепочка получателей (RFC 8617) заголовки электронной почты, а внутренний уровень — использовать и доверять этим заголовкам».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/cloud-security/cloud-email-filtering-bypass-attack