Ερευνητές στο SEC Consult δημοσίευσαν μια νέα τεχνική πλαστογράφησης που εκμεταλλεύεται τις διαφορές στον τρόπο με τον οποίο οι υλοποιήσεις του πρωτοκόλλου SMTP ακολουθούν την προδιαγραφή. Η προτεινόμενη τεχνική επίθεσης διαχωρίζει ένα μεμονωμένο μήνυμα σε πολλά μηνύματα καθώς αυτό μεταδίδεται από τον αρχικό διακομιστή SMTP σε έναν άλλο διακομιστή SMTP, ο οποίος ερμηνεύει την ακολουθία διαφορετικά για να διαχωρίσει τα μηνύματα που μεταδίδονται μέσω μίας μόνο σύνδεσης. Η μέθοδος μπορεί να χρησιμοποιηθεί για την αποστολή ψεύτικων μηνυμάτων εκ μέρους άλλων αποστολέων σε υπηρεσίες email που επαληθεύουν τον αρχικό αποστολέα.
Το πρόβλημα προκαλείται από το γεγονός ότι διαφορετικοί διακομιστές SMTP ερμηνεύουν διαφορετικά την ακολουθία τέλους δεδομένων, γεγονός που μπορεί να οδηγήσει σε διαίρεση ενός μηνύματος σε πολλά μέσα σε μία μόνο συνεδρία προς τον διακομιστή SMTP. Η προδιαγραφή ορίζει την ακολουθία "\r\n.\r\n" (μια τελεία που περιβάλλεται από χαρακτήρες επιστροφής και αλλαγής γραμμής) για να σηματοδοτήσει το τέλος της μετάδοσης του μηνύματος. Αυτή η ακολουθία μπορεί να ακολουθηθεί από εντολές για τη μετάδοση ενός άλλου μηνύματος χωρίς διακοπή της σύνδεσης. Ορισμένοι διακομιστές SMTP ακολουθούν αυστηρά την προδιαγραφή, αλλά άλλοι, για να διασφαλίσουν τη συμβατότητα με ορισμένα σπάνια προγράμματα-πελάτες αλληλογραφίας, επεξεργάζονται επίσης ακολουθίες όπως "\n.\n", "\n.\r\n", "\r\n.\n", "\r.\r", "\r\n\0.\r\n" και "\r\n\0.\r\n" ως διαχωριστικό.
Атака сводится к тому, что на первый διακομιστή, который обрабатывает только разделитель «\r\n.\r\n» отправляется письмо, в теле которого присутствует альтернативный разделитель, например, «\r.\r», следом за которым следуют команды отправки второго сообщения. Так как первый сервер строго следует спецификации, он обрабатывает полученную последовательность как одно письмо. Если далее письмо направляется на транзитный сервер или сервер получателя, который дополнительно воспринимает последовательность «\r.\r» как разделитель, оно будет обработано как два отдельно отправленных письма (второе письмо может быть отправлено от имени пользователя, не аутентифицированного через «AUTH LOGIN», но выглядеть как корректное на стороне получателя).
Παραδείγματα διακομιστών και υπηρεσιών SMTP που επιτρέπουν εναλλακτικά διαχωριστικά περιλαμβάνουν τα Postfix, Sendmail, MS Exchange Online και Cisco Secure Email Gateway, ενώ οι υπηρεσίες email που δεν φιλτράρουν λανθασμένα διαχωριστικά από τα email κατά την πρόσβαση σε άλλους διακομιστές περιλαμβάνουν τα GMX, iCloud και Microsoft Outlook.
Για να αντιμετωπίσει το πρόβλημα, η Postfix πρόσθεσε τη ρύθμιση "smtpd_forbid_unauth_pipelining" στις εκδόσεις 3.8.1, 3.7.6, 3.6.10 και 3.5.20, η οποία προκαλεί διακοπή μιας σύνδεσης εάν χρησιμοποιηθούν διαχωριστικά που δεν συμμορφώνονται με τα RFC 2920 και RFC 5321. Αυτή η ρύθμιση είναι προς το παρόν απενεργοποιημένη από προεπιλογή, αλλά έχει προγραμματιστεί να ενεργοποιηθεί από προεπιλογή στο Postfix 3.9, το οποίο αναμένεται την άνοιξη του 2024. Η έκδοση 3.9 θα περιλαμβάνει επίσης τη ρύθμιση smtpd_forbid_bare_newline, η οποία εμφανίζει σφάλμα εάν χρησιμοποιηθεί μόνο ο χαρακτήρας νέας γραμμής ("\n") για τον διαχωρισμό γραμμών, κάτι που παραβιάζει το RFC 5321.
Στην επερχόμενη έκδοση του Sendmail 8.18.0.2, προτείνεται η επιλογή 'o' για προστασία από την επίθεση srv_features, επιτρέποντας την επεξεργασία μόνο της ακολουθίας "\r\n.\r\n". Σημειώνεται ότι η απενεργοποίηση της υποστήριξης για εναλλακτικούς διαχωριστές ενδέχεται να διακόψει τη λειτουργία ορισμένων σπάνιων προγραμμάτων-πελατών αλληλογραφίας που δεν συμμορφώνονται πλήρως με την προδιαγραφή SMTP.
Πηγή: opennet.ru
