Hình 1. Minh họa giả mạo thư điện tử
Timo Longin - cố vấn bảo mật cấp cao tại Công ty bảo mật SEC Consult (Áo) cho biết trong một phân tích được công bố mới đây: “Kẻ tấn công có thể lạm dụng các máy chủ SMTP dễ bị tấn công trên toàn thế giới để gửi email độc hại từ các địa chỉ email tùy ý, cho phép triển khai các cuộc tấn công lừa đảo có mục tiêu”.
SMTP là giao thức dùng để gửi và nhận email qua mạng, chuyến tiếp thư từ ứng dụng email, kết nối SMTP được thiết lập giữa máy người dùng và máy chủ để truyền tải nội dung email. Sau đó, máy chủ dựa vào Mail Transfer Agent (MTA) để kiểm tra tên miền địa chỉ email của người nhận, nếu khác với tên miền địa chỉ email của người gửi, nó sẽ truy vấn hệ thống tên miền (DNS) để tra cứu ghi lại tên miền của người nhận và hoàn tất việc trao đổi thư.
Điểm quan trọng của kỹ thuật SMTP Smuggling bắt nguồn từ việc các máy chủ SMTP gửi đi và gửi đến xử lý các chuỗi dữ liệu cuối khác nhau, có khả năng tạo điều kiện cho kẻ tấn công can thiệp vào dữ liệu thư, sửa đổi các lệnh SMTP tùy ý.
Hình 2. Kỹ thuật SMTP Smuggling
Kỹ thuật này liên quan đến khái niệm của một phương thức tấn công đã biết được gọi là HTTP Request Smuggling, một kỹ thuật được sử dụng để can thiệp vào quá trình trang web xử lý các chuỗi yêu cầu HTTP nhận được từ một hay nhiều người dùng. Các lỗ hổng liên quan đến HTTP Request Smuggling thường xuất hiện khi máy chủ frontend và các máy chủ backend có sự mâu thuẫn trong việc xử lý các yêu cầu HTTP. Từ đó cho phép kẻ tấn công gửi hoặc đánh cắp một yêu cầu không xác định và ghép nó vào yêu cầu của người dùng tiếp theo.
SMTP Smuggling có hai biến thể: Inbound và Outbound. Nó cho phép tin tặc khai thác lỗ hổng bảo mật trên các máy chủ nhắn tin của Microsoft, GMX, Cisco để gửi email giả mạo hàng triệu tên miền. Việc triển khai SMTP từ Postfix và Sendmail cũng bị ảnh hưởng.
Điều này cho phép gửi các email giả mạo có vẻ như đến từ những người gửi hợp pháp và vượt qua các biện pháp bảo mật để đảm bảo tính xác thực của các thư đến. Trong khi Microsoft và GMX đã khắc phục sự cố thì Cisco cho biết những phát hiện này không phải là "lỗ hổng mà là một tính năng và họ sẽ không thay đổi cấu hình mặc định". Do đó, việc tấn công SMTP Smuggling vào các phiên bản Email bảo mật của Cisco vẫn có thể thực hiện được với cấu hình mặc định. Để khắc phục, SEC Consult khuyến nghị người dùng Cisco thay đổi cài đặt của họ từ "Clean" thành "Allow" để tránh nhận các email giả mạo có kiểm tra DMARC hợp lệ.
Lê Thị Bích Hằng
(Tổng hợp)
16:00 | 18/12/2023
10:00 | 31/01/2024
09:00 | 24/11/2023
14:00 | 19/12/2023
13:00 | 05/04/2024
Trong một động thái mới nhất, AT&T cuối cùng đã xác nhận rằng họ bị ảnh hưởng bởi một vụ vi phạm dữ liệu ảnh hưởng đến 73 triệu khách hàng.
10:00 | 21/02/2024
Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.
08:00 | 08/01/2024
Eagers Automotive - Tập đoàn bán lẻ ô tô hàng đầu ở Australia và New Zealand xác nhận một sự cố tấn công mạng, gây ảnh hưởng đến một số hệ thống công nghệ thông tin khiến tập đoàn này phải tạm dừng mọi hoạt động giao dịch để ngăn chặn rò rỉ thông tin vào ngày 28/12 vừa qua.
16:00 | 01/12/2023
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Check Point cho biết đã phát một số biến thể mới của phần mềm độc hại SysJoker, trong đó bao gồm một biến thể được mã hóa bằng Rust, được các tin tặc ủng hộ Hamas sử dụng trong các cuộc tấn công mạng nhắm đến Israel, trong bối cảnh leo thang cuộc xung đột vũ trang giữa Israel và Hamas đang diễn ra. Trong bài viết này sẽ tập trung phân tích phiên bản Rust của SysJoker dựa trên báo cáo nghiên cứu mới đây của Check Point.
Europol đưa ra thông báo, nền tảng cung cấp dịch vụ lừa đảo (PhaaS) LabHost vừa bị triệt phá trong chiến dịch kéo dài 1 năm của các nhà hành pháp toàn cầu, 37 nghi phạm bị bắt giữ.
14:00 | 24/04/2024