Obhodni napad s filtriranjem elektronske pošte v oblaku deluje v 80 % primerov

Računalniški znanstveniki so odkrili šokantno razširjeno napačno konfiguracijo v priljubljenih storitvah za filtriranje neželene e-pošte, ki temeljijo na oblaku, skupaj z izkoriščanjem za njeno izkoriščanje. Ugotovitve razkrivajo, da so organizacije veliko bolj odprte za kibernetske grožnje, ki se prenašajo po elektronski pošti, kot si mislijo.

V prispevku, ki bo predstavljen na prihajajočem Konferenca ACM Web 2024 Maja v Singapurju je avtorska akademska raziskovalna skupina ugotovila, da je storitve ponudnikov, ki so v široki uporabi, kot so Proofpoint, Barracuda, Mimecast in drugi, mogoče zaobiti v vsaj 80 % večjih domen, ki so jih pregledali.

Storitve filtriranja je mogoče "obiti, če ponudnik gostovanja e-pošte ni konfiguriran tako, da sprejema samo sporočila, ki prispejo iz storitve filtriranja e-pošte," pojasnjuje Sumanth Rao, podiplomski doktorski študent na Univerzi Kalifornije v San Diegu in glavni avtor prispevka, z naslovom “Nefiltrirano: merjenje obvodov filtriranja e-pošte v oblaku«.

To se morda zdi očitno, vendar je nastavitev filtrov, da delujejo skupaj z e-poštnim sistemom podjetja, težavna. Obvodni napad se lahko zgodi zaradi neusklajenosti med strežnikom za filtriranje in e-poštnim strežnikom v smislu ujemanja, kako se e-poštni strežniki Google in Microsoft odzivajo na sporočilo, ki prihaja z neznanega naslova IP, na primer tistega, ki bi ga uporabili pošiljatelji neželene pošte.

Googlovi strežniki takšno sporočilo zavrnejo med prvim prejemom, medtem ko ga Microsoftovi strežniki zavrnejo med ukazom »Podatki«, ko je sporočilo že dostavljeno prejemniku. To vpliva na nastavitev filtrov.

Glede na to so vložki visoki e-poštna sporočila z lažnim predstavljanjem ostajajo začetni izbrani mehanizem dostopa za kibernetske kriminalce.

»Skrbniki pošte, ki ne konfigurirajo pravilno svoje dohodne pošte, da bi ublažili to slabost, so podobni lastnikom barov, ki namestijo odbijača za preverjanje osebnih dokumentov na glavnem vhodu, vendar dovolijo obiskovalcem vstop tudi skozi odklenjena, nenadzorovana stranska vrata,« pravi Seth. Blank, tehnični direktor podjetja Valimail, prodajalca varnosti elektronske pošte.

Podjetniški nabiralniki so široko odprti za lažno predstavljanje

Po pregledu Okvir pošiljateljske politike (SPF) specifične konfiguracije za 673 domen .edu in 928 domen .com, ki so uporabljale Googlove ali Microsoftove e-poštne strežnike skupaj s filtri za neželeno pošto tretjih oseb, so raziskovalci ugotovili, da je bilo 88 % e-poštnih sistemov, ki temeljijo na Googlu, zaobiti, medtem ko je 78 % Microsoftovih sistemov je bilo.

Tveganje je večje pri uporabi ponudnikov oblakov, saj obvodni napad ni tako enostaven, če sta filtriranje in dostava e-pošte nameščena v prostorih na znanih in zaupanja vrednih naslovih IP, so opozorili.

Prispevek ponuja dva glavna razloga za te visoke stopnje napak: Prvič, dokumentacija za pravilno nastavitev tako filtriranja kot e-poštnih strežnikov je zmedena in nepopolna ter je pogosto prezrta ali slabo razumljena ali ji zlahka sledi. Drugič, veliko upraviteljev e-pošte v podjetjih dela napake pri zagotavljanju, da sporočila prispejo do prejemnikov, ker se bojijo izbrisa veljavnih, če uvedejo prestrog profil filtra. "To vodi do permisivnih in nevarnih konfiguracij," piše v časopisu.

Avtorji tega niso omenili, vendar je pomemben dejavnik dejstvo, da je konfiguracija vseh treh glavnih varnostnih protokolov za e-pošto – SPF, poročanje o preverjanju pristnosti sporočil na podlagi domene in skladnost (DMARC) in DomainKeys Identified Mail (DKIM) — sta potrebna za resnično učinkovito preprečevanje neželene pošte. Ampak to ni enostavno, niti za strokovnjake. Če to dodate k izzivu zagotavljanja pravilne komunikacije obeh storitev v oblaku za filtriranje in dostavo e-pošte, postane usklajevanje izjemno zapleteno. Za začetek, izdelke filtrov in e-poštnih strežnikov pogosto upravljata dva ločena oddelka v večjih korporacijah, kar predstavlja še več možnosti za napake.

"E-pošta je bila, tako kot mnoge podedovane internetne storitve, zasnovana na preprostem primeru uporabe, ki zdaj ni v koraku s sodobnimi zahtevami," so zapisali avtorji.

Zaostanki v dokumentaciji o konfiguraciji e-pošte, ki povzročajo varnostne vrzeli

Po mnenju raziskovalcev se dokumentacija, ki jo zagotovi vsak prodajalec filtrov, razlikuje po kakovosti. Prispevek poudarja, da so navodila za izdelke za filtriranje TrendMicro in Proofpoint še posebej nagnjena k napakam in zlahka ustvarijo ranljive konfiguracije. Tudi tisti prodajalci, ki imajo boljšo dokumentacijo, kot sta Mimecast in Barracuda, še vedno proizvajajo visoke stopnje napačnih konfiguracij. 

Medtem ko se večina prodajalcev ni odzvala na zahtevo Dark Readinga za komentar, Olesia Klevchuk, vodja trženja izdelkov pri Barracudi, pravi: »Pravilna nastavitev in redni 'zdravstveni pregledi' varnostnih orodij so pomembni. Zagotavljamo vodnik za preverjanje stanja, ki ga stranke lahko uporabijo za pomoč pri prepoznavanju te in drugih napačnih konfiguracij.«

Dodala je: »Večina, če ne vsi, prodajalci e-poštnih filtriranj bodo ponudili podporo ali strokovne storitve med uvedbo in po njej, da bi zagotovili, da njihova rešitev deluje, kot bi morala. Organizacije bi morale občasno izkoristiti prednosti in/ali vlagati vanje, da se izognejo morebitnim varnostnim tveganjem.«

Skrbniki elektronske pošte v podjetjih imajo na voljo več načinov za okrepitev svojih sistemov in preprečitev teh obvodnih napadov. Eden od načinov, ki so ga predlagali avtorji prispevka, je določiti naslov IP strežnika za filtriranje kot edini izvor celotnega e-poštnega prometa in zagotoviti, da ga napadalec ne more ponarediti. 

"Organizacije morajo konfigurirati svoj e-poštni strežnik tako, da sprejema e-pošto samo od svojih storitev filtriranja," so zapisali avtorji.

Microsoftova dokumentacija določa možnosti obrambe e-pošte in priporoča nastavitev niza parametrov za omogočanje te zaščite na primer za spletno uvajanje izmenjave. Drugi je zagotoviti, da so vsi protokoli SPF, DKIM in DMARC pravilno navedeni za vse domene in poddomene, ki jih podjetje uporablja za e-poštni promet. Kot že omenjeno, je to lahko izziv, zlasti za večja podjetja ali kraje, ki so sčasoma pridobili številne domene in pozabili na njihovo uporabo.

Nazadnje, druga rešitev, pravi Valimail's Blank, »je vključitev aplikacije za filtriranje Preverjena veriga sprejemnikov (RFC 8617) glave e-pošte in za notranjo plast, da porabi te glave in jim zaupa.«

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/cloud-security/cloud-email-filtering-bypass-attack