Hình 1. Minh họa giả mạo thư điện tử
Timo Longin - cố vấn bảo mật cấp cao tại Công ty bảo mật SEC Consult (Áo) cho biết trong một phân tích được công bố mới đây: “Kẻ tấn công có thể lạm dụng các máy chủ SMTP dễ bị tấn công trên toàn thế giới để gửi email độc hại từ các địa chỉ email tùy ý, cho phép triển khai các cuộc tấn công lừa đảo có mục tiêu”.
SMTP là giao thức dùng để gửi và nhận email qua mạng, chuyến tiếp thư từ ứng dụng email, kết nối SMTP được thiết lập giữa máy người dùng và máy chủ để truyền tải nội dung email. Sau đó, máy chủ dựa vào Mail Transfer Agent (MTA) để kiểm tra tên miền địa chỉ email của người nhận, nếu khác với tên miền địa chỉ email của người gửi, nó sẽ truy vấn hệ thống tên miền (DNS) để tra cứu ghi lại tên miền của người nhận và hoàn tất việc trao đổi thư.
Điểm quan trọng của kỹ thuật SMTP Smuggling bắt nguồn từ việc các máy chủ SMTP gửi đi và gửi đến xử lý các chuỗi dữ liệu cuối khác nhau, có khả năng tạo điều kiện cho kẻ tấn công can thiệp vào dữ liệu thư, sửa đổi các lệnh SMTP tùy ý.
Hình 2. Kỹ thuật SMTP Smuggling
Kỹ thuật này liên quan đến khái niệm của một phương thức tấn công đã biết được gọi là HTTP Request Smuggling, một kỹ thuật được sử dụng để can thiệp vào quá trình trang web xử lý các chuỗi yêu cầu HTTP nhận được từ một hay nhiều người dùng. Các lỗ hổng liên quan đến HTTP Request Smuggling thường xuất hiện khi máy chủ frontend và các máy chủ backend có sự mâu thuẫn trong việc xử lý các yêu cầu HTTP. Từ đó cho phép kẻ tấn công gửi hoặc đánh cắp một yêu cầu không xác định và ghép nó vào yêu cầu của người dùng tiếp theo.
SMTP Smuggling có hai biến thể: Inbound và Outbound. Nó cho phép tin tặc khai thác lỗ hổng bảo mật trên các máy chủ nhắn tin của Microsoft, GMX, Cisco để gửi email giả mạo hàng triệu tên miền. Việc triển khai SMTP từ Postfix và Sendmail cũng bị ảnh hưởng.
Điều này cho phép gửi các email giả mạo có vẻ như đến từ những người gửi hợp pháp và vượt qua các biện pháp bảo mật để đảm bảo tính xác thực của các thư đến. Trong khi Microsoft và GMX đã khắc phục sự cố thì Cisco cho biết những phát hiện này không phải là "lỗ hổng mà là một tính năng và họ sẽ không thay đổi cấu hình mặc định". Do đó, việc tấn công SMTP Smuggling vào các phiên bản Email bảo mật của Cisco vẫn có thể thực hiện được với cấu hình mặc định. Để khắc phục, SEC Consult khuyến nghị người dùng Cisco thay đổi cài đặt của họ từ "Clean" thành "Allow" để tránh nhận các email giả mạo có kiểm tra DMARC hợp lệ.
Lê Thị Bích Hằng
(Tổng hợp)
16:00 | 18/12/2023
10:00 | 31/01/2024
09:00 | 24/11/2023
14:00 | 19/12/2023
10:00 | 28/03/2024
Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.
10:00 | 04/03/2024
Mới đây, công ty sản xuất camera Wyze đã chia sẻ thông tin chi tiết về sự cố bảo mật đã ảnh hưởng đến hàng nghìn người dùng vào hôm 16/02 và cho biết ít nhất 13.000 khách hàng có thể xem clip từ camera nhà của những người dùng khác.
14:00 | 23/02/2024
Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.
08:00 | 10/02/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Fortinet (Mỹ) đã xác định được các gói độc hại trên kho lưu trữ Python Package Index (PyPI) mã nguồn mở nhằm phân phối phần mềm độc hại đánh cắp thông tin có tên là WhiteSnake trên hệ thống Windows. Bài viết này tập trung phân tích một số payload trên các gói trong kho lưu trữ PyPI.
Europol đưa ra thông báo, nền tảng cung cấp dịch vụ lừa đảo (PhaaS) LabHost vừa bị triệt phá trong chiến dịch kéo dài 1 năm của các nhà hành pháp toàn cầu, 37 nghi phạm bị bắt giữ.
14:00 | 24/04/2024