Скачать презентацию Client-side e-mail spoofing Who we are Специалисты Скачать презентацию Client-side e-mail spoofing Who we are Специалисты

2_5264928231793885274.pptx

  • Количество слайдов: 27

Client-side e-mail spoofing Client-side e-mail spoofing

Who we are Специалисты отдела анализа защищенности компании «Информзащита» Telegram: • @empty_jack • @n Who we are Специалисты отдела анализа защищенности компании «Информзащита» Telegram: • @empty_jack • @n 0 tabug Twitter: • https: //twitter. com/mylittlepapers 2

О чем это все • SMTP уязвим by design (кэп) • Данная уязвимость присутствует О чем это все • SMTP уязвим by design (кэп) • Данная уязвимость присутствует на клиентских приложениях: – Яндекс. Почта (Android, i. OS, Web) – Microsoft Outlook (i. OS, OWA, Office, Android) – Mail. ru + my. Mail (i. OS, Android) – Некоторые другие… • Сложность эксплуатации: минимальная 3

Яндекс. Почта 4 Яндекс. Почта 4

Яндекс. Почта 5 Яндекс. Почта 5

Яндекс. Почта 6 Яндекс. Почта 6

Яндекс. Почта 7 Яндекс. Почта 7

Заголовок From ishopper… - почта злоумышленника, зарегистрированная на gmail. com noreply@gmail. com – за Заголовок From ishopper… - почта злоумышленника, зарегистрированная на gmail. com noreply@gmail. com – за кого злоумышленник пытается выдать себя 8

Заголовок From • Клиентское приложение некорректно разбирает заголовок From письма -> • Приложение в Заголовок From • Клиентское приложение некорректно разбирает заголовок From письма -> • Приложение в процессе разбора из заголовка From удаляет последний адрес (настоящий адрес атакующего) -> • В заголовке From остается значение: Spoof Name • Данное значение отрисовывается приложением как почта отправителя • ВАЖНО! В заголовке From письма должен присутствовать адрес из заголовка MAIL FROM 9

Репорт в Яндекс Статус: Fixed 10 Репорт в Яндекс Статус: Fixed 10

Microsoft Outlook 11 Microsoft Outlook 11

Microsoft Outlook Подтягивается фотография и информация из Exchange 12 Microsoft Outlook Подтягивается фотография и информация из Exchange 12

Outlook. com 13 Outlook. com 13

Outlook Web Access (OWA) 14 Outlook Web Access (OWA) 14

Outlook for i. OS 15 Outlook for i. OS 15

Outlook for i. OS 16 Outlook for i. OS 16

Репорт в Microsoft Статус: Rejected 17 Репорт в Microsoft Статус: Rejected 17

Ответ от вендора Thank you for contacting the Microsoft Security Response Center (MSRC). Upon Ответ от вендора Thank you for contacting the Microsoft Security Response Center (MSRC). Upon investigation we have determined that this does not meet the bar for security servicing. The display of the sender message header could be forged or omitted just as easily as the from header. Additionally, while it’s true that SMTP can be easily spoofed, it’s the burden of the receiving mail provider to check the content and origin of messages. Any mail genuinely originating from Microsoft can be authenticated using SPF and DKIM, making this a failing of the mail service in not rejecting the message or sending it to a junk mail folder. 18

Mail. ru Другой вектор. Связанно с особенностью обработки заголовком приложениями 19 Mail. ru Другой вектор. Связанно с особенностью обработки заголовком приложениями 19

Mail. ru 20 Mail. ru 20

Mail. ru 21 Mail. ru 21

my. Mail 22 my. Mail 22

my. Mail Статус: Fixed 23 my. Mail Статус: Fixed 23

Как решить? • Строгий DMARC • Правило для антиспама • Правильноразбирать/отображать заголовок From • Как решить? • Строгий DMARC • Правило для антиспама • Правильноразбирать/отображать заголовок From • Выводить предупреждение о несоответствии заголовков 24

Нормально делай – нормально будет • Один из примеров решения: 25 Нормально делай – нормально будет • Один из примеров решения: 25

Нормально делай – нормально будет • Реализована защита «из коробки» в Mozilla Thunderbird 26 Нормально делай – нормально будет • Реализована защита «из коробки» в Mozilla Thunderbird 26

Вопросы? 27 Вопросы? 27