Hình 1. Minh họa giả mạo thư điện tử
Timo Longin - cố vấn bảo mật cấp cao tại Công ty bảo mật SEC Consult (Áo) cho biết trong một phân tích được công bố mới đây: “Kẻ tấn công có thể lạm dụng các máy chủ SMTP dễ bị tấn công trên toàn thế giới để gửi email độc hại từ các địa chỉ tùy ý, cho phép triển khai các cuộc tấn công lừa đảo có mục tiêu”.
SMTP là giao thức dùng để gửi và nhận email qua mạng, chuyến tiếp thư từ ứng dụng email, kết nối SMTP được thiết lập giữa máy người dùng và máy chủ để truyền tải nội dung email. Sau đó, máy chủ dựa vào Mail Transfer Agent (MTA) để kiểm tra tên miền địa chỉ email của người nhận, nếu khác với tên miền địa chỉ email của người gửi, nó sẽ truy vấn hệ thống tên miền (DNS) để tra cứu ghi lại tên miền của người nhận và hoàn tất việc trao đổi thư.
Điểm quan trọng của kỹ thuật SMTP Smuggling bắt nguồn từ việc các máy chủ SMTP gửi đi và gửi đến xử lý các chuỗi dữ liệu cuối khác nhau, có khả năng tạo điều kiện cho kẻ tấn công can thiệp vào dữ liệu thư, sửa đổi các lệnh SMTP tùy ý.
Hình 2. Kỹ thuật SMTP Smuggling
Kỹ thuật này liên quan đến khái niệm của một phương thức tấn công đã biết được gọi là , một kỹ thuật được sử dụng để can thiệp vào quá trình trang web xử lý các chuỗi yêu cầu HTTP nhận được từ một hay nhiều người dùng. Các lỗ hổng liên quan đến HTTP Request Smuggling thường xuất hiện khi máy chủ frontend và các máy chủ backend có sự mâu thuẫn trong việc xử lý các yêu cầu HTTP. Từ đó cho phép kẻ tấn công gửi hoặc đánh cắp một yêu cầu không xác định và ghép nó vào yêu cầu của người dùng tiếp theo.
SMTP Smuggling có hai biến thể: Inbound và Outbound. Nó cho phép tin tặc khai thác lỗ hổng bảo mật trên các máy chủ nhắn tin của Microsoft, GMX, Cisco để gửi email giả mạo hàng triệu tên miền. Việc triển khai SMTP từ Postfix và Sendmail cũng bị ảnh hưởng.
Điều này cho phép gửi các email giả mạo có vẻ như đến từ những người gửi hợp pháp và vượt qua các biện pháp bảo mật để đảm bảo tính xác thực của các thư đến. Trong khi Microsoft và GMX đã khắc phục sự cố thì Cisco cho biết những phát hiện này không phải là "lỗ hổng mà là một tính năng và họ sẽ không thay đổi cấu hình mặc định". Do đó, việc tấn công SMTP Smuggling vào các phiên bản Email bảo mật của Cisco vẫn có thể thực hiện được với cấu hình mặc định. Để khắc phục, SEC Consult khuyến nghị người dùng Cisco thay đổi cài đặt của họ từ "Clean" thành "Allow" để tránh nhận các email giả mạo có kiểm tra DMARC hợp lệ.
Lê Thị Bích Hằng
(Tổng hợp)
16:00 | 18/12/2023
10:00 | 31/01/2024
09:00 | 24/11/2023
14:00 | 19/12/2023
07:00 | 21/10/2024
Một nghiên cứu mới đây cho thấy 7 nhãn hiệu ô tô hàng đầu tại Úc đang thu thập và bán dữ liệu về người lái, gây lo ngại về quyền riêng tư. Đặc biệt, Hyundai và Kia bị cáo buộc bán dữ liệu nhận dạng giọng nói cho bên thứ ba để huấn luyện AI.
10:00 | 18/10/2024
Công ty bảo mật Zimperium (Mỹ) đã xác định được 40 biến thể mới của trojan ngân hàng TrickMo trên Android. Các biến thể này được liên kết với 16 chương trình dropper (một loại trojan horse để cài đặt phần mềm độc hại) và 22 cơ sở hạ tầng của máy chủ điều khiển và ra lệnh (C2) riêng biệt, với các tính năng mới để đánh cắp mã PIN Android.
07:00 | 10/09/2024
Trong bối cảnh chuyển đổi số và hội nhập quốc tế ngày càng sâu rộng, Việt Nam đang trở thành mục tiêu hấp dẫn cho các cuộc tấn công chuỗi cung ứng tinh vi. Các doanh nghiệp Việt từ các tổ chức nhỏ đến các tập đoàn lớn đều phải đối mặt với nguy cơ bị tấn công qua những lỗ hổng bảo mật trong hệ thống của đối tác hay nhà cung cấp.
13:00 | 13/08/2024
Các nhà nghiên cứu bảo mật tại Cleafy Labs (Italy) phát hiện ra một phần mềm độc hại Android mang tên BingoMod nguy hiểm, có thể đánh cắp tiền và xóa sạch dữ liệu của người dùng.
Công ty nghiên cứu bảo mật ESET mới đây đã đưa ra cảnh báo về việc tin tặc tấn công một đối tác của họ tại Israel để mạo danh thương hiệu này nhằm phát tán mã độc.
09:00 | 29/10/2024