Podstawowe informacje

Ten rodzaj podatności został pierwotnie odkryty w tym poście, gdzie wyjaśniono, że jest możliwe wykorzystanie rozbieżności w interpretacji protokołu SMTP podczas finalizowania e-maila, umożliwiając atakującemu przemyt większej liczby e-maili w treści prawdziwego e-maila, umożliwiając podszywanie się pod innych użytkowników dotkniętej domeny (takich jak admin@outlook.com), omijając obronę taką jak SPF.

Dlaczego

Dzieje się tak, ponieważ w protokole SMTP dane wiadomości do wysłania w e-mailu są kontrolowane przez użytkownika (atakującego), który może wysłać specjalnie spreparowane dane nadużywając różnic w parserach, co umożliwi przemyt dodatkowych e-maili w odbiorcy. Przejrzyj ten zilustrowany przykład z oryginalnego posta:

Jak

Aby wykorzystać tę podatność, atakujący musi wysłać pewne dane, które serwer SMPT wychodzący uważa za jednego e-maila, podczas gdy serwer SMPT przychodzący uważa, że jest ich kilka.

Badacze odkryli, że różne serwery przychodzące uważają różne znaki za koniec danych wiadomości e-mail, których serwery wychodzące nie uwzględniają. Na przykład zwykłym końcem danych jest \r\n.\r. Ale jeśli serwer SMTP przychodzący również obsługuje \n., atakujący mógłby po prostu dodać te dane do swojego e-maila i zacząć wskazywać polecenia SMTP nowych, aby przemyć go tak jak na poprzednim obrazku.

Oczywiście, to może działać tylko wtedy, gdy serwer SMTP wychodzący również nie traktuje tych danych jako końca danych wiadomości, ponieważ w takim przypadku zobaczy 2 e-maile zamiast jednego, więc ostatecznie to jest desynchronizacja, która jest wykorzystywana w tej podatności.

Potencjalne dane desynchronizacji:

• \n.

• \n.\r

Zauważ również, że SPF jest omijane, ponieważ jeśli przemytasz e-mail z admin@outlook.com z e-maila user@outlook.com, nadawcą nadal jest outlook.com.

Referencje

• https://sec-consult.com/blog/detail/smtp-smuggling-spoofing-e-mails-worldwide/