Các lỗ hổng được đặt tên là MailSploit, ảnh hưởng tới Apple Mail (trên cả macOS, iOS và watchOS), Mozilla Thunderbird, một loạt các email client của Microsoft, Yahoo Mail, ProtonMail và nhiều ứng dụng thư điện tử khác.
Tuy phần lớn các ứng dụng đó đã triển khai các cơ chế chống giả mạo như DKIM và DMARC, nhưng MailSploit vẫn có thể lợi dụng cách email client và giao diện web phân tích "From" header.
Giả mạo thư là một phương thức lâu năm nhưng vẫn có thể sử dụng tốt, cho phép kẻ xấu sửa đổi phần header của thư và gửi thư với địa chỉ giả để lừa người nhận.
Trên một website dành riêng mới thiết lập (//www.mailsploit.com/index), Haddouche giải thích việc không kiểm tra đầu vào của các email client có thể dẫn đến kiểu tấn công giả mạo thư mà không cần lợi dụng bất kỳ lỗ hổng nào của cơ chế DMARC. Để minh hoạ kiểu tấn công này, Haddouche đã tạo ra một đoạn ký tư phi ASCII trong email header và gửi thành công một thư giả từ địa chỉ chính thức của tổng thống Hoa Kỳ. Bằng cách kết hợp các ký tự điều khiển như tạo dòng mới hay null-byte, ông có thể giấu hay bỏ đi phần tên miền của thư gốc.
Chúng ta đã thấy rất nhiều mã độc lây qua thư điện tử, lừa người dùng mở các tệp đính kèm không an toàn hay nhấn vào các liên kết nguy hiểm. Sự gia tăng của mã độc tống tiền phát tán qua thư điện tử cho thấy các cơ chế đó đã phát huy tác dụng khá tốt. Với lỗ hổng như MailSploit, khả năng lừa đảo bằng thư điện tử sẽ còn tăng cao hơn nữa.
Ngoài việc giả mạo, nhà nghiên cứu còn phát hiện ra rằng, một số email client như Hushmail, Open Mailbox, Spark và Airmail còn có lỗ hổng cross-site scripting (XSS). Ông đã gửi báo cáo về lỗ hổng trong 33 ứng dụng khác nhau tới các nhà cung cấp, 8 trong số đó đã vá lỗi trước khi thông tin được công bố rộng rãi và 12 ứng dụng đang trong quá trình xử lý.
Người dùng có thể xem danh sách tất cả các email client (cả ứng dụng web, đã vá và chưa vá) bị ảnh hưởng bởi tấn công MailSploit tại địa chỉ
//docs.google.com/spreadsheets/d/1jkb_ZybbAoUA43K902lL-sB7c1HMQ78-fhQ8nowJCQk/edit.
Tuy nhiên, Mozilla và Opera coi lỗ hổng này là vấn đề ở phía máy chủ và sẽ không phát hành bất kỳ bản vá nào.
Nguyễn Anh Tuấn
Theo The Hacker News
08:00 | 29/11/2017
08:00 | 19/10/2017
14:00 | 04/01/2018
09:00 | 09/01/2018
13:00 | 29/12/2023
14:00 | 23/11/2017
09:00 | 08/01/2018
11:00 | 24/10/2024
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
07:00 | 23/09/2024
Theo hãng bảo mật Doctor Web (Nga), tin tặc đã sử dụng mã độc Android.Vo1d để cài đặt backdoor trên các TV box, cho phép chúng chiếm quyền kiểm soát thiết bị hoàn toàn, sau đó tải và thực thi các ứng dụng độc hại khác. Được biết, các TV box này chạy hệ điều hành Android đã lỗi thời.
14:00 | 08/07/2024
Cisco đã vá lỗ hổng zero-day trong hệ điều hành NX-OS bị khai thác trong các cuộc tấn công vào tháng 4/2024 để cài đặt phần mềm độc hại với quyền root trên các thiết bị chuyển mạch (switch) dễ bị tấn công.
16:00 | 20/06/2024
Một cuộc kiểm tra bảo mật mở rộng đối với QNAP QTS - hệ điều hành dành cho các sản phẩm NAS đã phát hiện 15 lỗ hổng với các mức độ nghiêm trọng khác nhau, trong đó có 11 lỗ hổng vẫn chưa được vá.
Các cơ quan chính phủ tại Mỹ, Úc và Canada đưa ra cảnh báo các tác nhân đe dọa được nhà nước Iran bảo trợ sử dụng kỹ thuật tấn công Brute Force và nhiều phương thức khác để triển khai các chiến dịch tấn công mạng nhắm vào các tổ chức cơ sở hạ tầng quan trọng.
10:00 | 25/10/2024