Bulut E-posta Filtreleme Atlatma Saldırısı Zamanın %80'inde Çalışıyor

Bilgisayar bilimcileri, popüler kurumsal bulut tabanlı e-posta spam filtreleme hizmetlerinde şok edici derecede yaygın bir yanlış yapılandırmayı ve bundan yararlanmaya yönelik bir istismarı ortaya çıkardılar. Bulgular, kuruluşların e-posta kaynaklı siber tehditlere sanıldığından çok daha açık olduğunu ortaya koyuyor.

Önümüzdeki kongrede sunulacak bir bildiride ACM Web 2024 konferansı Mayıs ayında Singapur'da yazar akademik araştırma ekibi, Proofpoint, Barracuda, Mimecast ve diğerleri gibi satıcıların yaygın olarak kullandığı hizmetlerin, inceledikleri ana alan adlarının en az %80'inde atlanabileceğini belirtti.

San Diego'daki California Üniversitesi'nde yüksek lisans doktora öğrencisi ve makalenin baş yazarı Sumanth Rao, "e-posta barındırma sağlayıcısı yalnızca e-posta filtreleme hizmetinden gelen mesajları kabul edecek şekilde yapılandırılmamışsa, filtreleme hizmetleri atlanabilir" diye açıklıyor: başlıklıFiltrelenmemiş: Bulut Tabanlı E-posta Filtreleme Atlamalarını Ölçme".

Bu çok açık görünebilir, ancak filtreleri kurumsal e-posta sistemiyle birlikte çalışacak şekilde ayarlamak zor bir iştir. Baypas saldırısı, filtreleme sunucusu ile e-posta sunucusu arasındaki, Google ve Microsoft e-posta sunucularının, spam gönderenler tarafından kullanılacak gibi bilinmeyen bir IP adresinden gelen bir mesaja nasıl tepki vereceği konusundaki eşleşme açısından bir uyumsuzluk nedeniyle gerçekleşebilir.

Google'ın sunucuları böyle bir mesajı ilk alındığında reddederken Microsoft'un sunucuları, mesajın zaten alıcıya teslim edildiği "Veri" komutu sırasında reddeder. Bu, filtrelerin nasıl ayarlanması gerektiğini etkiler.

Riskler yüksek, göz önüne alındığında Kimlik avı e-postaları ilk tercih edilen erişim mekanizması olmaya devam ediyor siber suçlular için.

Seth, "Bu zayıflığı azaltmak için gelen postalarını düzgün şekilde yapılandırmayan posta yöneticileri, ana girişte kimlikleri kontrol etmek için bir güvenlik görevlisi görevlendiren ancak müşterilerin kilitlenmemiş, izlenmeyen bir yan kapıdan içeri girmesine de izin veren bar sahiplerine benzer" diyor Blank, bir e-posta güvenlik sağlayıcısı olan Valimail'in CTO'su.

Kimlik Avına Tamamen Açık Kurumsal Gelen Kutuları

İnceledikten sonra Gönderen Politika Çerçevesi Google veya Microsoft e-posta sunucularını ve üçüncü taraf spam filtrelerini kullanan 673 .edu alan adı ve 928 .com alan adı için (SPF) özel yapılandırmalar kullanan araştırmacılar, Google tabanlı e-posta sistemlerinin %88'inin atlandığını, %78'inin ise atlandığını buldu. Microsoft sistemlerinin %'si öyleydi.

Bulut satıcılarını kullanırken riskin daha yüksek olduğunu, çünkü hem filtreleme hem de e-posta dağıtımının bilinen ve güvenilir IP adreslerinde tesis içinde barındırıldığı durumlarda bir bypass saldırısının o kadar kolay olmadığını belirttiler.

Makale, bu yüksek başarısızlık oranlarının iki ana nedenini sunuyor: Birincisi, hem filtreleme hem de e-posta sunucularını doğru şekilde kurmaya yönelik belgeler kafa karıştırıcı ve eksiktir ve sıklıkla göz ardı edilir veya iyi anlaşılmaz veya kolayca takip edilmez. İkincisi, birçok kurumsal e-posta yöneticisi, çok katı bir filtre profili uygularlarsa geçerli olanları silme korkusuyla, mesajların alıcılara ulaştığından emin olma hatasına düşer. Makaleye göre "Bu, hoşgörülü ve güvensiz yapılandırmalara yol açıyor".

Yazarlar tarafından belirtilmese de önemli bir faktör, ana e-posta güvenlik protokollerinin üçünün de (SPF, Etki Alanı Tabanlı Mesaj Kimlik Doğrulaması Raporlaması ve Uyumluluk) yapılandırılmasıdır (DMARC) ve Etki Alanı Anahtarları Tanımlanmış Posta (DKIM) — spam'ı durdurmada gerçekten etkili olmak için gereklidir. Ama bu uzmanlar için bile kolay değil. Bunu, filtreleme ve e-posta dağıtımı için iki bulut hizmetinin düzgün bir şekilde iletişim kurmasını sağlama zorluğuna eklediğinizde koordinasyon çabası son derece karmaşık hale gelir. Öncelikle, filtre ve e-posta sunucusu ürünleri genellikle büyük şirketlerdeki iki ayrı departman tarafından yönetiliyor ve bu da hata olasılığını daha da artırıyor.

Yazarlar, "Birçok eski İnternet hizmeti gibi e-posta da artık modern taleplere ayak uyduramayan basit bir kullanım senaryosu etrafında tasarlandı" diye yazdı.

E-posta Yapılandırma Belgelerindeki Gecikmeler, Güvenlik Açıklarına Yol Açıyor

Araştırmacılara göre, her filtreleme satıcısının sağladığı belgelerin kalitesi farklılık gösteriyor. Belgede, TrendMicro ve Proofpoint'in filtreleme ürünlerine ilişkin talimatların özellikle hataya açık olduğu ve kolaylıkla savunmasız konfigürasyonlar üretebileceğine dikkat çekiliyor. Mimecast ve Barracuda gibi daha iyi belgelere sahip satıcılar bile hala yüksek oranlarda yanlış yapılandırma üretiyor. 

Satıcıların çoğu Dark Reading'in yorum talebine yanıt vermezken Barracuda'nın ürün pazarlama müdürü Olesia Klevchuk şunları söylüyor: “Güvenlik araçlarının uygun kurulumu ve düzenli 'sağlık kontrolleri' önemlidir. Müşterilerin bu ve diğer yanlış yapılandırmaları tespit etmelerine yardımcı olmak için kullanabilecekleri bir durum kontrolü kılavuzu sağlıyoruz."

Şunları ekliyor: "Hepsi olmasa da e-posta filtreleme sağlayıcılarının çoğu, dağıtım sırasında ve sonrasında çözümlerinin olması gerektiği gibi çalıştığından emin olmak için destek veya profesyonel hizmetler sunacak. Kuruluşlar, potansiyel güvenlik risklerinden kaçınmak için periyodik olarak bu hizmetlerden yararlanmalı ve/veya yatırım yapmalıdır.”

Kurumsal e-posta yöneticilerinin sistemlerini güçlendirmenin ve bu bypass saldırılarını önlemenin çeşitli yolları vardır. Makalenin yazarları tarafından önerilen yollardan biri, filtreleme sunucusunun IP adresini tüm e-posta trafiğinin tek kaynağı olarak belirlemek ve bu adresin bir saldırgan tarafından aldatılamamasını sağlamaktır. 

Yazarlar, "Kuruluşların e-posta sunucularını yalnızca filtreleme hizmetlerinden gelen e-postaları kabul edecek şekilde yapılandırmaları gerekiyor" diye yazdı.

Microsoft'un belgeleri e-posta savunma seçeneklerini ortaya koyuyor ve örneğin çevrimiçi değişim dağıtımında bu korumayı etkinleştirmek için bir dizi parametrenin ayarlanmasını önerir. Bir diğeri ise bir kuruluşun e-posta trafiği için kullandığı tüm alan adları ve alt alan adları için tüm SPF, DKIM ve DMARC protokollerinin doğru şekilde belirtilmesini sağlamaktır. Belirtildiği gibi bu, özellikle büyük şirketler veya zaman içinde çok sayıda alan adı edinmiş ve bunların kullanımını unutmuş yerler için zor olabilir.

Valimail'den Blank, son olarak başka bir çözümün de "filtreleme uygulamasının şunları içermesi olduğunu söylüyor: Kimliği Doğrulanmış Alıcı Zinciri (RFC 8617) e-posta başlıklarını ve iç katmanın bu başlıkları kullanması ve bunlara güvenmesi için."

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• Kaynak: https://www.darkreading.com/cloud-security/cloud-email-filtering-bypass-attack