Вразливості під загальною назвою MailSploit дозволяють розсилати шкідливі електронні листи, оминаючи механізми захисту від спуфінгу.
Уразливості під загальною назвою MailSploit дозволяють розсилати шкідливі електронні листи в обхід механізмів захисту від спуфінгу.
Дослідник безпеки Сабрі Хаддуш (Sabri Haddouche) виявив серію вразливостей, що отримали загальну назву MailSploit, які дозволяють розсилати шкідливі електронні листи в обхід механізмів захисту від спуфінгу. Вразливості торкаються 33 популярних поштових клієнтів, у тому числі Apple Mail (macOS, iOS та watchOS), Mozilla Thunderbird, кілька поштових клієнтів від Microsoft, Yahoo Mail, ProtonMail та ін.
Незважаючи на реалізацію у більшості поштових клієнтів механізмів захисту від спуфінгу, таких як DKIM та DMARC, MailSploit дозволяє обійти цей захист шляхом експлуатації механізму аналізу поля відправника, використовуваного поштовими клієнтами та web-інтерфейсами.
Для демонстрації атаки дослідник створив корисне навантаження, закодувавши символи, що не відображаються, в заголовку електронної пошти, успішно відправивши підроблений лист нібито з офіційної адреси президента Сполучених Штатів Америки.
"Використовуючи комбінації символів керування, таких як нові рядки або нульові байти, можна домогтися приховання або видалення частини домену вихідного листа", - пояснив експерт.
Окрім спуфінгу, дослідник також виявив, що деякі з поштових клієнтів, включаючи Hushmail, Open Mailbox, Spark та Airmail уразливі до XSS-атак.
Хаддуш повідомив розробників усіх 33 поштових клієнтів, 8 із них уже виправили дані проблеми у своїх продуктах, а ще 12 перебувають у процесі роботи над патчами.
DomainKeys Identified Mail (DKIM) — метод аутентифікації, розроблений для виявлення підроблених повідомлень, що надсилаються електронною поштою.
Domain-based Message Authentication, Reporting and Conformance (DMARC) – технічна специфікація, призначена для зниження кількості спамових та фішингових електронних листів, що базується на ідентифікації поштових доменів відправника на підставі правил та ознак, заданих на поштовому сервері одержувача.