Falhas no encaminhamento de e-mail permitem que invasores se façam passar por domínios de alto perfil

Views: 165
0 0
Read Time:6 Minute, 57 Second

Enviar um e-mail com endereço falso é mais fácil do que se pensava, devido a falhas no processo que permite o encaminhamento de e-mails, segundo uma equipe de pesquisa liderada por cientistas da computação da Universidade da Califórnia em San Diego.

As questões descobertas pelos investigadores têm um impacto amplo, afetando a integridade dos e-mails enviados de dezenas de milhares de domínios, incluindo aqueles que representam organizações do governo dos EUA – como a maioria dos domínios de e-mail do gabinete dos EUA, incluindo state.gov, e agências de segurança.

As principais empresas de serviços financeiros, como a Mastercard, e as principais organizações noticiosas, como o The Washington Post e a Associated Press, também são vulneráveis.

É chamado de spoofing baseado em encaminhamento, e os pesquisadores descobriram que eles podem enviar mensagens de e-mail se passando por essas organizações, contornando as proteções implantadas por provedores de e-mail como Gmail e Outlook. Depois que os destinatários recebem o e-mail falsificado, é mais provável que abram anexos que implantam malware ou cliquem em links que instalam spyware em suas máquinas.

A equipe de pesquisa descobriu que tal falsificação é possível devido a diversas vulnerabilidades centradas no encaminhamento de e-mails. O protocolo original usado para verificar a autenticidade de um email pressupõe implicitamente que cada organização opera sua infraestrutura de correspondência com endereços IP específicos não usados ​​por outros domínios.

Mas hoje, muitas organizações terceirizam sua infraestrutura de e-mail para Gmail e Outlook. Como resultado, milhares de domínios delegaram o direito de enviar e-mails em seu nome ao mesmo terceiro. Embora esses provedores terceirizados validem que seus usuários enviam e-mails apenas em nome dos domínios que operam, essa proteção pode ser contornada pelo encaminhamento de e-mails.

Por exemplo, state.gov, o domínio de e-mail do Departamento de Estado, permite que o Outlook envie e-mails em seu nome. Isso significa que os e-mails que afirmam ser de state.gov seriam considerados legítimos se viessem dos servidores de e-mail do Outlook.

Como resultado, um invasor pode criar um e-mail falsificado – um e-mail com uma identidade falsa – fingindo, por exemplo, ser do Departamento de Estado – e depois encaminhá-lo por meio de sua conta pessoal do Outlook. Depois de fazer isso, o e-mail falsificado será tratado como legítimo pelo destinatário, pois vem de um servidor de e-mail do Outlook.

Também existem versões dessa falha para cinco outros provedores de e-mail, incluindo o iCloud. Os pesquisadores também descobriram outros problemas menores que afetam os usuários do Gmail e do Zohomail – um provedor de e-mail popular na Índia.

Os pesquisadores relataram o problema à Microsoft , Apple e Google, mas, até onde sabem, ele não foi totalmente corrigido.

“Isso não é surpreendente, já que isso exigiria um grande esforço, incluindo o desmantelamento e o reparo de quatro décadas de sistemas legados”, disse Alex Liu , Ph.D. estudante do Departamento de Ciência da Computação e Engenharia da Jacobs School na UC San Diego.

“Embora existam certas mitigações de curto prazo que reduzirão significativamente a exposição aos ataques que descrevemos aqui, em última análise, o e-mail precisa ter uma base de segurança mais sólida se quiser resistir eficazmente aos ataques de falsificação no futuro”, continuou Liu.

Ataques diferentes

Os pesquisadores desenvolveram quatro tipos diferentes de ataques usando encaminhamento.

Para os três primeiros, eles assumiram que um adversário controla as contas que enviam e encaminham e-mails. O invasor também precisa ter um servidor capaz de enviar mensagens de e-mail falsificadas e uma conta com um provedor terceirizado que permita o encaminhamento aberto.

O invasor começa criando uma conta pessoal para encaminhamento e depois adiciona o endereço falsificado à lista branca das contas – uma lista de domínios que não serão bloqueados mesmo que não atendam aos padrões de segurança. O invasor configura sua conta para encaminhar todos os emails para o alvo desejado. O invasor então falsifica um e-mail para parecer ter sido originado de state.gov e envia o e-mail para sua conta pessoal do Outlook. Então, tudo o que o invasor precisa fazer é encaminhar o e-mail falsificado ao seu alvo.

Mais de 12% dos domínios de e-mail mais populares do Alexa 100K – os domínios mais populares da Internet – estão vulneráveis ​​a esse ataque. Estes incluem um grande número de organizações de notícias, como o Washington Post, o Los Angeles Times e a Associated Press, bem como registradores de domínios como GoDaddy, serviços financeiros, como Mastercard e Docusign e grandes escritórios de advocacia.

Além disso, 32% dos domínios .gov são vulneráveis, incluindo a maioria das agências governamentais dos EUA, uma série de agências de segurança e agências que trabalham no domínio da saúde pública, como o CDC. Nos níveis estadual e local, praticamente todos os domínios primários do governo estadual são vulneráveis ​​e mais de 40% de todos os domínios .gov são usados ​​pelas cidades.

Numa segunda versão deste ataque, um invasor cria uma conta pessoal do Outlook para encaminhar mensagens de e-mail falsificadas para o Gmail. Neste cenário, o atacante assume a identidade de um domínio que também é servido pelo Outlook e, em seguida, envia a mensagem falsificada do seu próprio servidor malicioso para a sua conta pessoal do Outlook, que por sua vez a encaminha para uma série de contas do Gmail.

Os pesquisadores também encontraram variações desse ataque que funcionam para quatro serviços populares de listas de e-mail: grupos do Google, mailman, listserv e Gaggle.

Soluções potenciais

Os pesquisadores divulgaram todas as vulnerabilidades e ataques aos provedores. Zoho corrigiu o problema e concedeu à equipe uma recompensa por bug. A Microsoft também concedeu uma recompensa por bugs e confirmou as vulnerabilidades. O serviço de lista de discussão Gaggle disse que mudaria os protocolos para resolver o problema. O Gmail também corrigiu os problemas relatados pela equipe e o iCloud está investigando.

Mas para realmente chegar à raiz do problema, os pesquisadores recomendam desabilitar o encaminhamento aberto, um processo que permite aos usuários configurar suas contas para encaminhar mensagens para qualquer endereço de e-mail designado sem qualquer verificação pelo endereço de destino. Este processo está em vigor para Gmail e Outlook. Além disso, provedores como Gmail e Outlook confiam implicitamente em serviços de e-mail de alto perfil, entregando mensagens encaminhadas por esses e-mails de qualquer maneira.

Os provedores também devem acabar com a suposição de que os e-mails provenientes de outro grande provedor são legítimos, um processo denominado políticas de validação relaxadas.

Além disso, os pesquisadores recomendam que as listas de e-mail solicitem a confirmação do verdadeiro endereço do remetente antes de entregar o e-mail.

“Uma abordagem mais fundamental seria padronizar vários aspectos do encaminhamento”, escrevem os pesquisadores. “No entanto, fazer tais mudanças exigiria cooperação em todo o sistema e provavelmente encontraria muitos problemas operacionais.”

Métodos de encaminhamento de e-mail

Para cada serviço, os pesquisadores criaram várias contas de teste e as usaram para encaminhar e-mails para contas de destinatários que eles controlavam. Eles então analisaram os cabeçalhos de e-mail resultantes para entender melhor qual protocolo de encaminhamento o serviço usava. Eles testaram seus ataques em 14 provedores de e-mail, que são usados ​​por 46% dos domínios mais populares da Internet e domínios governamentais.

Eles também criaram listas de mala direta nos serviços existentes fornecidos pela UC San Diego e pelo serviço de lista de mala direta Gaggle.

Os pesquisadores enviaram mensagens de e-mail falsificadas apenas para contas que eles próprios criaram. Eles primeiro testaram cada ataque falsificando domínios que criaram e controlaram. Depois de verificarem que os ataques funcionavam, eles executaram um pequeno conjunto de experimentos que falsificaram e-mails de domínios reais. Ainda assim, os e-mails falsificados foram enviados apenas para contas de teste criadas pelos pesquisadores.

“Uma questão fundamental é que os protocolos de segurança de e-mail são componentes distribuídos, opcionais e configurados de forma independente”, escrevem os pesquisadores. Isto cria uma superfície de ataque grande e complexa, com muitas interações possíveis que não podem ser facilmente previstas ou administradas por uma única parte.”

FONTE: HELP NET SECURITY

POSTS RELACIONADOS