3 Januari 2024
Gelukkig nieuwjaar namens het spotit SOC-team!Introductie
Op 18 december hebben beveiligingsonderzoekers van SEC Consult publiceerden hun onderzoek naar een SMTP-smokkelkwetsbaarheid die veel oplossingen voor e-mailbezorging treft.
SMTP Smuggling maakt gebruik van een achterwaartse compatibiliteitsfunctie van de e-mailbezorgingsoplossingen om het verzenden van spoofed e-mails mogelijk te maken. Leveranciers van getroffen oplossingen zijn onder meer Microsoft, Cisco, GMX/Ionos, Postfix, Sendmail en anderen.
Postfix heeft nu hun applicatie gerepareerd en enige duidelijkheid geboden over de werking van de kwetsbaarheid:
De aanval omvat een SAMENSTELLING van twee e-mailservices met specifieke verschillen in de manier waarop ze omgaan met andere regeleinden dan <CR><LF>:
- Eén e-mailservice A die geen verkeerd opgemaakte regeleinden in SMTP herkent, zoals in <LF>.<CR><LF> in een e-mailbericht van een geverifieerde aanvaller naar een ontvanger bij e-mailservice B, en dat deze verkeerd opgemaakte regeleinden woordelijk doorgeeft wanneer het bericht wordt doorgestuurd naar:
- Eén andere e-mailservice B die onjuist opgemaakte regeleinden in SMTP ondersteunt, zoals in <LF>.<CR><LF>. Wanneer dit wordt gevolgd door “gesmokkelde” SMTP MAIL/RCPT/DATA-opdrachten en berichtkop plus hoofdtekst, wordt e-mailservice B misleid om twee e-mailberichten te ontvangen: één bericht met de inhoud vóór de <LF>.<CR><LF>, en één bericht met de “gesmokkelde” header plus hoofdtekst na de “gesmokkelde” SMTP-opdrachten. Dit alles wanneer e-mailservice A slechts één bericht verzendt.
Postfix is een voorbeeld van e-mailservice B. Outlook.com van Microsoft was een voorbeeld van e-mailservice A.
Betrokken Oplossingen
- Cisco Secure E-mail Cloud Gateway, voorheen ‘Cisco Cloud E-mail Security’ of ‘CES’
- Microsoft Outlook/Exchange Online
- iCloud
- On-premises Microsoft Exchange-server
- Postfix
- Sendmail
- Startmail
- Fastmail
- Zohomail
Mitigaties
Cisco Secure E-mail Cloud Gateway moet als volgt worden geconfigureerd:
- Wijzig de instelling voor ‘CR and LF Handling’ in ‘Allow’.
De standaardinstelling ‘Clean’ maakt Inbound SMTP Smuggling mogelijk vanwege de verwerking van de <CR>.<CR> einde van de gegevensreeks.