Атака обходу хмарної фільтрації електронної пошти працює у 80% випадків

Комп’ютерні вчені виявили вражаюче поширену неправильну конфігурацію в популярних корпоративних хмарних службах фільтрації спаму електронної пошти, а також експлойт для використання цієї переваги. Отримані дані показують, що організації набагато більш відкриті до кіберзагроз, що поширюються електронною поштою, ніж вони думають.

У статті, яка буде представлена ​​на наступному Конференція ACM Web 2024 У травні в Сінгапурі дослідницька група авторів зазначила, що широко використовувані послуги від таких постачальників, як Proofpoint, Barracuda, Mimecast та інші, можна обійти принаймні в 80% основних доменів, які вони перевірили.

Служби фільтрації можна «обійти, якщо хостинг-провайдер електронної пошти не налаштований приймати лише повідомлення, які надходять від служби фільтрації електронної пошти», — пояснює Сумант Рао, аспірант Каліфорнійського університету в Сан-Дієго та провідний автор статті. під назвою "Нефільтрований: вимірювання обходу фільтрації електронної пошти в хмарі».

Це може здатися очевидним, але налаштувати фільтри на роботу в тандемі з корпоративною системою електронної пошти складно. Атака обходу може статися через невідповідність між сервером фільтрації та сервером електронної пошти з точки зору відповідності того, як сервери електронної пошти Google і Microsoft реагують на повідомлення, що надходить із невідомої IP-адреси, наприклад тієї, яку використовували б спамери.

Сервери Google відхиляють таке повідомлення під час його початкового отримання, тоді як сервери Microsoft відхиляють його під час виконання команди «Дані», коли повідомлення вже доставлено одержувачу. Це впливає на налаштування фільтрів.

Зважаючи на це, ставки високі фішингові електронні листи залишаються основним механізмом доступу для кіберзлочинців.

«Адміністратори електронної пошти, які неправильно налаштовують свою вхідну пошту для пом’якшення цього недоліку, схожі на власників барів, які встановлюють вишибалу для перевірки ідентифікаторів біля головного входу, але дозволяють відвідувачам входити також через незамкнені бокові двері без контролю», — говорить Сет. Бланк, технічний директор Valimail, постачальника засобів захисту електронної пошти.

Корпоративні папки "Вхідні" широко відкриті для фішингу

Після обстеження Рамка політики щодо відправника Спеціальні конфігурації (SPF) для 673 доменів .edu та 928 доменів .com, які використовували сервери електронної пошти Google або Microsoft разом зі сторонніми спам-фільтрами, дослідники виявили, що 88% систем електронної пошти на базі Google було обійдено, тоді як 78 % систем Microsoft були.

Ризик вищий при використанні хмарних постачальників, оскільки обхідна атака не така проста, коли і фільтрація, і доставка електронної пошти розміщені на відомих і надійних IP-адресах, зазначили вони.

У документі наведено дві основні причини такої високої кількості невдач: по-перше, документація для належного налаштування серверів фільтрації та електронної пошти є заплутаною та неповною, і її часто ігнорують, погано розуміють або легко слідувати. По-друге, багато менеджерів корпоративної електронної пошти помиляються, переконавшись, що повідомлення надходять до одержувачів, боячись видалення дійсних, якщо вони запровадять занадто суворий профіль фільтра. «Це призводить до дозволених і незахищених конфігурацій», - йдеться в документі.

Автори не згадують, але важливим фактором є той факт, що налаштування всіх трьох основних протоколів безпеки електронної пошти — SPF, звітування про автентифікацію на основі домену та відповідність (Розширення DMARC) і DomainKeys Identified Mail (DKIM) — потрібні, щоб справді ефективно зупиняти спам. Але це непросто навіть для експертів. Додайте це до завдання забезпечити належний зв’язок між двома хмарними службами для фільтрації та доставки електронної пошти, і зусилля з координації стануть надзвичайно складними. Крім того, продуктами фільтрів і серверів електронної пошти часто керують два окремих відділи у великих корпораціях, що створює ще більше можливостей для помилок.

«Електронна пошта, як і багато застарілих Інтернет-сервісів, була розроблена навколо простого варіанту використання, який зараз не відповідає сучасним вимогам», — пишуть автори.

Відставання в документації конфігурації електронної пошти, що викликає прогалини в безпеці

Відповідно до дослідників, документація, що надається кожним постачальником фільтрів, відрізняється за якістю. У документі наголошується, що інструкції щодо продуктів фільтрації від TrendMicro та Proofpoint особливо схильні до помилок і можуть легко створювати вразливі конфігурації. Навіть ті постачальники, які мають кращу документацію, як-от Mimecast і Barracuda, все ще спричиняють високий рівень неправильної конфігурації. 

Хоча більшість постачальників не відповіли на прохання Dark Reading про коментарі, Олеся Клевчук, менеджер з маркетингу продуктів Barracuda, каже: «Правильне налаштування та регулярні «перевірки стану» інструментів безпеки є важливими. Ми пропонуємо посібник із перевірки працездатності, який клієнти можуть використовувати, щоб допомогти їм визначити цю та інші неправильні конфігурації».

Вона додає: «Більшість, якщо не всі, постачальники фільтрації електронної пошти запропонують підтримку або професійні послуги під час і після розгортання, щоб переконатися, що їх рішення працює належним чином. Організації повинні періодично користуватися цими послугами та/або інвестувати в них, щоб уникнути потенційних ризиків для безпеки».

Адміністратори корпоративної електронної пошти мають кілька способів посилити свої системи та запобігти цим обхідним атакам. Один із способів, запропонований авторами статті, полягає в тому, щоб вказати IP-адресу сервера фільтрації як єдине джерело всього трафіку електронної пошти та переконатися, що він не може бути підроблений зловмисником. 

«Організації повинні налаштувати свій сервер електронної пошти, щоб він приймав електронну пошту лише від своєї служби фільтрації», — пишуть автори.

У документації Microsoft описано варіанти захисту електронної пошти і рекомендує встановити серію параметрів, щоб увімкнути цей захист, наприклад, для розгортання онлайн-біржі. Інший — переконатися, що всі протоколи SPF, DKIM і DMARC правильно вказані для всіх доменів і субдоменів, які використовуються підприємством для трафіку електронної пошти. Як згадувалося, це може бути проблемою, особливо для великих компаній або місць, які з часом придбали численні домени та забули про їх використання.

Нарешті, ще одне рішення, каже Бланк Valimail, «це включити програму фільтрації Автентифікований ланцюг приймачів (RFC 8617) заголовки електронної пошти, а внутрішній рівень споживає ці заголовки й довіряє їм».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/cloud-security/cloud-email-filtering-bypass-attack