Контакты
Подписка 2025
ТБ Форум 2025
Отечественные ИT-платформы и ПО для объектов КИИ. Онлайн-конференция | 6 марта 2025
Регистрируйтесь и участвуйте!

Десятки уязвимостей в протоколе STARTTLS затрагивают популярные почтовые клиенты

19/08/21

TLSИсследователи в области кибербезопасности Дамиан Поддебняк (Damian Poddebniak), Фабиан Изинг (Fabian Ising), Ханно Бек (Hanno Böck) и Себастьян Шинзел (Sebastian Schinzel) выявили почти 40 различных уязвимостей, связанных с гибким механизмом шифрования STARTTLS в почтовых клиентах и ​​серверах. Эксплуатация уязвимостей позволяет злоумышленникам осуществлять атаки типа «человек посередине» (MitM), подделывать содержимое почтового ящика и похищать учетные данные.

По результатам сканирования Сети было обнаружено 320 тыс. почтовых серверов, уязвимых к так называемой атаке с использованием внедрения команд. Некоторые из популярных клиентов, затронутых уязвимостями, включают Apple Mail, Gmail, Mozilla Thunderbird, Claws Mail, Mutt, Evolution, Exim, Mail.ru, Samsung Email, Yandex и KMail.

Для осуществления атак злоумышленнику необходимо вмешаться в соединения, установленные между почтовым клиентом и почтовым сервером поставщика, а также иметь учетные данные для входа в свою учетную запись на том же сервере.

Альтернативный сценарий атаки может облегчить подделку почтового ящика путем вставки дополнительного содержимого в сообщение сервера в ответ на команду STARTTLS перед TLS-рукопожатием. Атакующий может обманом заставить клиент обработать команды сервера так, как если бы они были частью зашифрованного соединения. Исследователи окрестили атаку «ответным внедрением».

Последний вариант атаки касается IMAP-протокола, который определяет стандартизированный способ для почтовых клиентов получать сообщения электронной почты с почтового сервера через соединение TCP/IP. Злоумышленник может обойти STARTTLS в IMAP, отправив приветствие PREAUTH — ответ, который указывает, что соединение уже было аутентифицировано внешними средствами. Таким образом хакер может предотвратить обновление соединения и заставить клиента установить незашифрованное соединение.

Темы:Угрозыэлектронная почтаШифрованиеTLS
КИИ
Отечественные ИT-платформы и ПО для объектов критической информационной инфраструктуры
Регистрируйтесь и участвуйте 6 марта 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Кибербезопасность инфраструктуры, данных и приложений. 7 марта 2025
Регистрация →

Еще темы...

More...