Các lỗ hổng được đặt tên là MailSploit, ảnh hưởng tới Apple Mail (trên cả macOS, iOS và watchOS), Mozilla Thunderbird, một loạt các email client của Microsoft, Yahoo Mail, ProtonMail và nhiều ứng dụng thư điện tử khác.
Tuy phần lớn các ứng dụng đó đã triển khai các cơ chế chống giả mạo như DKIM và DMARC, nhưng MailSploit vẫn có thể lợi dụng cách email client và giao diện web phân tích "From" header.
Giả mạo thư là một phương thức lâu năm nhưng vẫn có thể sử dụng tốt, cho phép kẻ xấu sửa đổi phần header của thư và gửi thư với địa chỉ giả để lừa người nhận.
Trên một website dành riêng mới thiết lập (https://www.mailsploit.com/index), Haddouche giải thích việc không kiểm tra đầu vào của các email client có thể dẫn đến kiểu tấn công giả mạo thư mà không cần lợi dụng bất kỳ lỗ hổng nào của cơ chế DMARC. Để minh hoạ kiểu tấn công này, Haddouche đã tạo ra một đoạn ký tư phi ASCII trong email header và gửi thành công một thư giả từ địa chỉ chính thức của tổng thống Hoa Kỳ. Bằng cách kết hợp các ký tự điều khiển như tạo dòng mới hay null-byte, ông có thể giấu hay bỏ đi phần tên miền của thư gốc.
Chúng ta đã thấy rất nhiều mã độc lây qua thư điện tử, lừa người dùng mở các tệp đính kèm không an toàn hay nhấn vào các liên kết nguy hiểm. Sự gia tăng của mã độc tống tiền phát tán qua thư điện tử cho thấy các cơ chế đó đã phát huy tác dụng khá tốt. Với lỗ hổng như MailSploit, khả năng lừa đảo bằng thư điện tử sẽ còn tăng cao hơn nữa.
Ngoài việc giả mạo, nhà nghiên cứu còn phát hiện ra rằng, một số email client như Hushmail, Open Mailbox, Spark và Airmail còn có lỗ hổng cross-site scripting (XSS). Ông đã gửi báo cáo về lỗ hổng trong 33 ứng dụng khác nhau tới các nhà cung cấp, 8 trong số đó đã vá lỗi trước khi thông tin được công bố rộng rãi và 12 ứng dụng đang trong quá trình xử lý.
Người dùng có thể xem danh sách tất cả các email client (cả ứng dụng web, đã vá và chưa vá) bị ảnh hưởng bởi tấn công MailSploit tại địa chỉ
https://docs.google.com/spreadsheets/d/1jkb_ZybbAoUA43K902lL-sB7c1HMQ78-fhQ8nowJCQk/edit.
Tuy nhiên, Mozilla và Opera coi lỗ hổng này là vấn đề ở phía máy chủ và sẽ không phát hành bất kỳ bản vá nào.
Nguyễn Anh Tuấn
Theo The Hacker News
08:00 | 29/11/2017
08:00 | 19/10/2017
14:00 | 04/01/2018
09:00 | 09/01/2018
13:00 | 29/12/2023
14:00 | 23/11/2017
09:00 | 08/01/2018
14:00 | 10/05/2024
Một lỗ hổng bảo mật mới được phát hiện trong ngôn ngữ lập trình R, có thể bị kẻ tấn công khai thác để tạo tệp RDS (R Data Serialization) độc hại dẫn đến việc thực thi mã tùy ý khi được tải và tham chiếu.
10:00 | 07/05/2024
Các chuyên gia bảo mật vừa phát hiện 3 ứng dụng có chứa mã độc trên ứng dụng Google Play dành cho Android. Nếu đã cài đặt một trong 3 ứng dụng này, người dùng nên gỡ bỏ ngay để tránh các rủi ro đáng tiếc.
07:00 | 11/03/2024
Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.
08:00 | 08/01/2024
Eagers Automotive - Tập đoàn bán lẻ ô tô hàng đầu ở Australia và New Zealand xác nhận một sự cố tấn công mạng, gây ảnh hưởng đến một số hệ thống công nghệ thông tin khiến tập đoàn này phải tạm dừng mọi hoạt động giao dịch để ngăn chặn rò rỉ thông tin vào ngày 28/12 vừa qua.
Các nhà nghiên cứu đã cảnh báo về một phần mềm gián điệp có tên Cuckoo trên hệ thống MacOS của Apple. Cuckoo có thể tồn tại lâu dài trên các máy tính mục tiêu và hoạt động như một phần mềm gián điệp, có khả năng thu thập thông tin từ các máy chủ đã bị nhiễm.
08:00 | 22/05/2024