By | December 6, 2017

דוא ל מקור זיופים, לעקוף את מסנני דואר זבל, הגנות, כגון אימות ההודעה מבוססת קבוצת מחשבים, דיווח, התאמה (DMARC), מיוצגים על הבודק חדירה סברי Haddouche, פוזות סיכון משתמשים שמפעילים מהן, לקוח דואר unpatched.

הבודק מצא כי יותר מ- 30 לקוחות דואר כולל Thunderbird, Apple Mail, לקוחות Windows שונים, Yahoo! Mail, ProtonMail ואחרים, bungled ביישום שלהם של בקשת הקדומה RFC, ומאפשר האקרים להונות את תוכנת הצגה של מתחזים מ שדה, למרות העובדה כי השרת רואה השולח האמיתי.

במילים אחרות, אם השרת מוגדר לשימוש DMARC, Framework(SPF) מדיניות השולח או דואר המזוהה מפתחות מחשבים (DKIM), זה נתייחס הודעה לגיטימי, גם אם זה צריך להיות מנופה-דואר זבל.

מצד שני, ה RFC היא RFC 1342, “ייצוג של תווי ASCII שאינו טקסט ב אינטרנט כותרות הודעות”, מה Haddouche מצא שגיאת יישום אילו לקוחות דואר, ממשקי דואר אינטרנט לא כראוי sanitise מחרוזת שאינם מסוג ASCII לאחר פענוח זה.

על פי Haddouche, ההטמעה ניתן להשתמש גם =? utf-8? b? [ ]? = עבור ההטמעה.

למשל, Apple Mail מוזן הבאות:

מ: =? utf-8? b? ${base64_encode(‘potus@whitehouse.gov’)}? = =? utf-8? Q? = 00? = =? utf-8? b? ${base64_encode (‘(potus@whitehouse.gov)’)}? = @mailsploit.com-

בעיות האבטחה שני כאן הם:

  • iOS יש באג null-byte הזרקה, אז זה מתעלם הכל אחרי זה בית ומראה potus@whitehouse.gov כשולח;
  • MacOS macOS מתעלם הבייט null אבל יפסיק לאחר האי מייל חוקית הראשון שהוא רואה (עקב באג בהמנתח).

סברי Haddouche בשם “Mailsploit” את הבאג, והמלון מספק רשימה מלאה של לקוחותפגיעים.

Mailsploit יש מחסור אחר – כמה בעיות במערכות כרטיסים (Supportsystem, osTicket ואינטרקום) קיימת גם הבאג. חוץ מזה, בפרסומי רבים, הבאג יכול לנצל גם עבור התקפות מסוג הזרקת קוד ו- scripting מרובה אתרים.

הספקים Haddouche יצר קשר עם שתוקנה או צריכים לעבוד על תיקון, למרות מוזילה ואופרה יכול להיות בעיית בצד השרת, ולא Mailbird “סגור את הכרטיס מבלי להגיב”.

Leave a Reply

Your email address will not be published. Required fields are marked *