SMTP Smuggling
基本情報
この種の脆弱性は、この投稿で最初に発見されました。SMTPプロトコルの解釈に不一致がある場合、攻撃者は合法的なメールの本文にさらに多くのメールを密輸することができ、影響を受けるドメインの他のユーザー(たとえばadmin@outlook.com)をなりすますことができ、SPFなどの防御をバイパスすることができます。
理由
SMTPプロトコルでは、メールで送信されるメッセージのデータは、ユーザー(攻撃者)によって制御されます。これにより、受信者に追加のメールを密輸するパーサーの違いを悪用する特別に作成されたデータを送信できます。元の投稿からのこのイラスト付きの例をご覧ください:
方法
この脆弱性を悪用するには、攻撃者はアウトバウンドSMTPサーバーが1つのメールだと思うデータを送信する必要があり、インバウンドSMTPサーバーは複数のメールがあると考える必要があります。
研究者たちは、インバウンドサーバーがメールメッセージのデータの終わりとして異なる文字を考慮していることを発見しました。
たとえば、通常のデータの終わりは\r\n.\r
です。しかし、インバウンドSMTPサーバーが\n.
もサポートしている場合、攻撃者は単にそのデータをメールに追加し、新しいSMTPコマンドを示し始めることで、前述の画像のようにそれを密輸することができます。
もちろん、これはアウトバウンドSMTPサーバーもこのデータをメッセージデータの終わりとして扱わない場合にのみ機能します。そうでない場合、1つの代わりに2つのメールが表示されるため、最終的にはこの脆弱性で悪用されているデシンクロが発生します。
潜在的なデシンクロデータ:
\n.
\n.\r
また、SPFがバイパスされることに注意してください。admin@outlook.com
からuser@outlook.com
のメールを密輸すると、送信者は依然としてoutlook.com
です。
参考文献
Last updated