Các lỗ hổng được đặt tên là MailSploit, ảnh hưởng tới Apple Mail (trên cả macOS, iOS và watchOS), Mozilla Thunderbird, một loạt các email client của Microsoft, Yahoo Mail, ProtonMail và nhiều ứng dụng thư điện tử khác.
Tuy phần lớn các ứng dụng đó đã triển khai các cơ chế chống giả mạo như DKIM và DMARC, nhưng MailSploit vẫn có thể lợi dụng cách email client và giao diện web phân tích "From" header.
Giả mạo thư là một phương thức lâu năm nhưng vẫn có thể sử dụng tốt, cho phép kẻ xấu sửa đổi phần header của thư và gửi thư với địa chỉ giả để lừa người nhận.
Trên một website dành riêng mới thiết lập (//www.mailsploit.com/index), Haddouche giải thích việc không kiểm tra đầu vào của các email client có thể dẫn đến kiểu tấn công giả mạo thư mà không cần lợi dụng bất kỳ lỗ hổng nào của cơ chế DMARC. Để minh hoạ kiểu tấn công này, Haddouche đã tạo ra một đoạn ký tư phi ASCII trong email header và gửi thành công một thư giả từ địa chỉ chính thức của tổng thống Hoa Kỳ. Bằng cách kết hợp các ký tự điều khiển như tạo dòng mới hay null-byte, ông có thể giấu hay bỏ đi phần tên miền của thư gốc.
Chúng ta đã thấy rất nhiều mã độc lây qua thư điện tử, lừa người dùng mở các tệp đính kèm không an toàn hay nhấn vào các liên kết nguy hiểm. Sự gia tăng của mã độc tống tiền phát tán qua thư điện tử cho thấy các cơ chế đó đã phát huy tác dụng khá tốt. Với lỗ hổng như MailSploit, khả năng lừa đảo bằng thư điện tử sẽ còn tăng cao hơn nữa.
Ngoài việc giả mạo, nhà nghiên cứu còn phát hiện ra rằng, một số email client như Hushmail, Open Mailbox, Spark và Airmail còn có lỗ hổng cross-site scripting (XSS). Ông đã gửi báo cáo về lỗ hổng trong 33 ứng dụng khác nhau tới các nhà cung cấp, 8 trong số đó đã vá lỗi trước khi thông tin được công bố rộng rãi và 12 ứng dụng đang trong quá trình xử lý.
Người dùng có thể xem danh sách tất cả các email client (cả ứng dụng web, đã vá và chưa vá) bị ảnh hưởng bởi tấn công MailSploit tại địa chỉ
//docs.google.com/spreadsheets/d/1jkb_ZybbAoUA43K902lL-sB7c1HMQ78-fhQ8nowJCQk/edit.
Tuy nhiên, Mozilla và Opera coi lỗ hổng này là vấn đề ở phía máy chủ và sẽ không phát hành bất kỳ bản vá nào.
Nguyễn Anh Tuấn
Theo The Hacker News
08:00 | 29/11/2017
08:00 | 19/10/2017
14:00 | 04/01/2018
09:00 | 09/01/2018
13:00 | 29/12/2023
14:00 | 23/11/2017
09:00 | 08/01/2018
13:00 | 21/11/2023
Fortinet cảnh báo khách hàng về lỗ hổng chèn lệnh nghiêm trọng trong hệ điều hành máy chủ của FortiSIEM, lỗ hông này có thể bị khai thác bởi kẻ tấn công chưa xác thực từ xa để thực thi lệnh qua các truy vấn API tự tạo.
07:00 | 30/10/2023
Trong tháng 10, Microsoft, Adobe và Apple đã phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.
09:00 | 25/10/2023
Nhóm tin tặc Nga do nhà nước bảo trợ với tên gọi là “Sandworm” đã xâm phạm 11 nhà cung cấp dịch vụ viễn thông ở Ukraine trong khoảng thời gian từ tháng 5 đến tháng 9/2023.
07:00 | 18/09/2023
Trong ngày 12/9 vừa qua, Adobe và Mozilla đã phát hành các bản cập nhật bảo mật để giải quyết lỗ hổng zero-day nghiêm trọng trên các sản phẩm của mình. Hai lỗ hổng được biết đến lần lượt là CVE-2023-26369 của Adobe và CVE-2023-4863 của Mozilla.
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
Các nhà nghiên cứu tại Công ty công nghệ an ninh mạng Cisco Talos (Mỹ) mới đây đã phát hiện ra chiến dịch Operation Blacksmith do nhóm tin tặc Lazarus khét tiếng của Triều Tiên thực hiện, sử dụng ba họ phần mềm độc hại dựa trên ngôn ngữ lập trình DLang, bao gồm trojan truy cập từ xa (RAT) có tên là NineRAT tận dụng Telegram để ra lệnh và kiểm soát (C2), DLRAT và trình tải xuống có tên là BottomLoader.
07:00 | 27/12/2023
