Home > Security Bulletins > SMTP Smuggling

SMTP Smuggling

3 Januari 2024

Gelukkig nieuwjaar namens het spotit SOC-team!

Introductie

Op 18 december hebben beveiligingsonderzoekers van SEC Consult publiceerden hun onderzoek naar een SMTP-smokkelkwetsbaarheid die veel oplossingen voor e-mailbezorging treft.

SMTP Smuggling maakt gebruik van een achterwaartse compatibiliteitsfunctie van de e-mailbezorgingsoplossingen om het verzenden van spoofed e-mails mogelijk te maken. Leveranciers van getroffen oplossingen zijn onder meer Microsoft, Cisco, GMX/Ionos, Postfix, Sendmail en anderen.

Postfix heeft nu hun applicatie gerepareerd en enige duidelijkheid geboden over de werking van de kwetsbaarheid:

De aanval omvat een SAMENSTELLING van twee e-mailservices met specifieke verschillen in de manier waarop ze omgaan met andere regeleinden dan <CR><LF>:

  • Eén e-mailservice A die geen verkeerd opgemaakte regeleinden in SMTP herkent, zoals in <LF>.<CR><LF> in een e-mailbericht van een geverifieerde aanvaller naar een ontvanger bij e-mailservice B, en dat deze verkeerd opgemaakte regeleinden woordelijk doorgeeft wanneer het bericht wordt doorgestuurd naar:
  • Eén andere e-mailservice B die onjuist opgemaakte regeleinden in SMTP ondersteunt, zoals in <LF>.<CR><LF>. Wanneer dit wordt gevolgd door “gesmokkelde” SMTP MAIL/RCPT/DATA-opdrachten en berichtkop plus hoofdtekst, wordt e-mailservice B misleid om twee e-mailberichten te ontvangen: één bericht met de inhoud vóór de <LF>.<CR><LF>, en één bericht met de “gesmokkelde” header plus hoofdtekst na de “gesmokkelde” SMTP-opdrachten. Dit alles wanneer e-mailservice A slechts één bericht verzendt.

Postfix is een voorbeeld van e-mailservice B. Outlook.com van Microsoft was een voorbeeld van e-mailservice A.

Betrokken Oplossingen

  • Cisco Secure E-mail Cloud Gateway, voorheen ‘Cisco Cloud E-mail Security’ of ‘CES’
  • Microsoft Outlook/Exchange Online
  • iCloud
  • On-premises Microsoft Exchange-server
  • Postfix
  • Sendmail
  • Startmail
  • Fastmail
  • Zohomail

Mitigaties

Cisco Secure E-mail Cloud Gateway moet als volgt worden geconfigureerd:

  • Wijzig de instelling voor ‘CR and LF Handling’ in ‘Allow’.

De standaardinstelling ‘Clean’ maakt Inbound SMTP Smuggling mogelijk vanwege de verwerking van de <CR>.<CR> einde van de gegevensreeks.