Các lỗ hổng được đặt tên là MailSploit, ảnh hưởng tới Apple Mail (trên cả macOS, iOS và watchOS), Mozilla Thunderbird, một loạt các email client của Microsoft, Yahoo Mail, ProtonMail và nhiều ứng dụng thư điện tử khác.
Tuy phần lớn các ứng dụng đó đã triển khai các cơ chế chống giả mạo như DKIM và DMARC, nhưng MailSploit vẫn có thể lợi dụng cách email client và giao diện web phân tích "From" header.
Giả mạo thư là một phương thức lâu năm nhưng vẫn có thể sử dụng tốt, cho phép kẻ xấu sửa đổi phần header của thư và gửi thư với địa chỉ giả để lừa người nhận.
Trên một website dành riêng mới thiết lập (https://www.mailsploit.com/index), Haddouche giải thích việc không kiểm tra đầu vào của các email client có thể dẫn đến kiểu tấn công giả mạo thư mà không cần lợi dụng bất kỳ lỗ hổng nào của cơ chế DMARC. Để minh hoạ kiểu tấn công này, Haddouche đã tạo ra một đoạn ký tư phi ASCII trong email header và gửi thành công một thư giả từ địa chỉ chính thức của tổng thống Hoa Kỳ. Bằng cách kết hợp các ký tự điều khiển như tạo dòng mới hay null-byte, ông có thể giấu hay bỏ đi phần tên miền của thư gốc.
Chúng ta đã thấy rất nhiều mã độc lây qua thư điện tử, lừa người dùng mở các tệp đính kèm không an toàn hay nhấn vào các liên kết nguy hiểm. Sự gia tăng của mã độc tống tiền phát tán qua thư điện tử cho thấy các cơ chế đó đã phát huy tác dụng khá tốt. Với lỗ hổng như MailSploit, khả năng lừa đảo bằng thư điện tử sẽ còn tăng cao hơn nữa.
Ngoài việc giả mạo, nhà nghiên cứu còn phát hiện ra rằng, một số email client như Hushmail, Open Mailbox, Spark và Airmail còn có lỗ hổng cross-site scripting (XSS). Ông đã gửi báo cáo về lỗ hổng trong 33 ứng dụng khác nhau tới các nhà cung cấp, 8 trong số đó đã vá lỗi trước khi thông tin được công bố rộng rãi và 12 ứng dụng đang trong quá trình xử lý.
Người dùng có thể xem danh sách tất cả các email client (cả ứng dụng web, đã vá và chưa vá) bị ảnh hưởng bởi tấn công MailSploit tại địa chỉ
https://docs.google.com/spreadsheets/d/1jkb_ZybbAoUA43K902lL-sB7c1HMQ78-fhQ8nowJCQk/edit.
Tuy nhiên, Mozilla và Opera coi lỗ hổng này là vấn đề ở phía máy chủ và sẽ không phát hành bất kỳ bản vá nào.
Nguyễn Anh Tuấn
Theo The Hacker News
08:00 | 29/11/2017
08:00 | 19/10/2017
14:00 | 04/01/2018
09:00 | 09/01/2018
13:00 | 29/12/2023
14:00 | 23/11/2017
09:00 | 08/01/2018
19:00 | 30/04/2024
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
09:00 | 28/04/2024
Trong một chiến dịch tấn công gần đây, các tác nhân đe dọa đã lạm dụng chức năng tìm kiếm của GitHub và sử dụng các kho lưu trữ được thiết kế đặc biệt để phát tán phần mềm độc hại nhằm đánh cắp các khoản thanh toán bằng tiền điện tử.
10:00 | 28/03/2024
Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.
08:00 | 12/01/2024
Trung tuần tháng 12, các nhà nghiên cứu của hãng bảo mật Kaspersky phát hiện một mối đe dọa đa nền tảng mới có tên là NKAbuse. Phần mềm độc hại này được viết bằng ngôn ngữ Golang, sử dụng công nghệ NKN (New Kind of Network) để trao đổi dữ liệu giữa các thiết bị mạng ngang hàng, được trang bị khả năng tạo backdoor và phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS), bên cạnh đó NKAbuse cũng có đủ sự linh hoạt để tạo các tệp nhị phân tương thích với nhiều kiến trúc khác nhau.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
19:00 | 30/04/2024
