Более 30 популярных почтовых клиентов уязвимы к атакам MailSploit

6 декабря 2017

Исследователь безопасности Сабри Хаддуш (Sabri Haddouche) обнаружил серию уязвимостей, получивших общее название MailSploit, которые позволяют рассылать вредоносные электронные письма в обход механизмов защиты от спуфинга. Уязвимости затрагивают 33 популярных почтовых клиента, в том числе Apple Mail (macOS, iOS и watchOS), Mozilla Thunderbird, несколько почтовых клиентов от Microsoft, Yahoo Mail, ProtonMail и пр.

Несмотря на реализацию в большинстве почтовых клиентов механизмов защиты от спуфинга, таких как DKIM и DMARC, MailSploit позволяет обойти данную защиту путем эксплуатации механизма анализа поля отправителя, используемого почтовыми клиентами и web-интерфейсами.

Для демонстрации атаки исследователь создал полезную нагрузку, закодировав неотображаемые символы в заголовке электронной почты, успешно отправив поддельное письмо якобы с официального адреса президента Соединенных Штатов Америки.

«Используя комбинации управляющих символов, таких как новые строки или нулевые байты, можно добиться сокрытия или удаления части домена исходного письма», — пояснил эксперт.

Помимо спуфинга, исследователь также обнаружил, что некоторые из почтовых клиентов, включая Hushmail, Open Mailbox, Spark и Airmail уязвимы к XSS-атакам.

Хаддуш уведомил разработчиков всех 33 почтовых клиентов, 8 из них уже исправили данные проблемы в своих продуктах, а еще 12 находятся в процессе работы над патчами. С полным списком уязвимых почтовых клиентов можно ознакомиться здесь.

Видео с демонстрацией уязвимости

DomainKeys Identified Mail (DKIM) — метод аутентификации, разработанный для обнаружения поддельных сообщений, пересылаемых по электронной почте.

Domain-based Message Authentication, Reporting and Conformance (DMARC) - техническая спецификация, предназначенная для снижения количества спамовых и фишинговых электронных писем, основанная на идентификации почтовых доменов отправителя на основании правил и признаков, заданных на почтовом сервере получателя.


Другие новости

16 ноября

Федеральная налоговая служба сообщила, когда предприниматели на ЕНВД смогут использовать новую форму налоговой декларации для оформления вычета за покупку кассовой техники.

23 октября

Нарушители будут привлекаться к дисциплинарной ответственности, а контрактники — досрочно уволены.

23 октября

Лига безопасного интернета предложила ввести ответственность для соцсетей и поисковиков за запрещенный контент.

23 октября

В некоторых случаях затраты на мобильный интернет достигают $385.