Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Десятки уязвимостей в протоколе STARTTLS затрагивают популярные почтовые клиенты

19/08/21

TLSИсследователи в области кибербезопасности Дамиан Поддебняк (Damian Poddebniak), Фабиан Изинг (Fabian Ising), Ханно Бек (Hanno Böck) и Себастьян Шинзел (Sebastian Schinzel) выявили почти 40 различных уязвимостей, связанных с гибким механизмом шифрования STARTTLS в почтовых клиентах и ​​серверах. Эксплуатация уязвимостей позволяет злоумышленникам осуществлять атаки типа «человек посередине» (MitM), подделывать содержимое почтового ящика и похищать учетные данные.

По результатам сканирования Сети было обнаружено 320 тыс. почтовых серверов, уязвимых к так называемой атаке с использованием внедрения команд. Некоторые из популярных клиентов, затронутых уязвимостями, включают Apple Mail, Gmail, Mozilla Thunderbird, Claws Mail, Mutt, Evolution, Exim, Mail.ru, Samsung Email, Yandex и KMail.

Для осуществления атак злоумышленнику необходимо вмешаться в соединения, установленные между почтовым клиентом и почтовым сервером поставщика, а также иметь учетные данные для входа в свою учетную запись на том же сервере.

Альтернативный сценарий атаки может облегчить подделку почтового ящика путем вставки дополнительного содержимого в сообщение сервера в ответ на команду STARTTLS перед TLS-рукопожатием. Атакующий может обманом заставить клиент обработать команды сервера так, как если бы они были частью зашифрованного соединения. Исследователи окрестили атаку «ответным внедрением».

Последний вариант атаки касается IMAP-протокола, который определяет стандартизированный способ для почтовых клиентов получать сообщения электронной почты с почтового сервера через соединение TCP/IP. Злоумышленник может обойти STARTTLS в IMAP, отправив приветствие PREAUTH — ответ, который указывает, что соединение уже было аутентифицировано внешними средствами. Таким образом хакер может предотвратить обновление соединения и заставить клиента установить незашифрованное соединение.

Темы:Угрозыэлектронная почтаШифрованиеTLS
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...