Обнаруженные исследователями проблемы имеют широкое влияние, затрагивая целостность электронной почты, отправляемой с десятков тысяч доменов, включая те, которые представляют организации правительства США — например, большинство почтовых доменов американского кабинета министров, включая state.gov, а также агентства безопасности. Уязвимы также ключевые финансовые компании, такие как Mastercard, и крупные новостные организации, такие как The Washington Post и Associated Press.

Это так называемая подделка на основе переадресации, и исследователи обнаружили, что они могут отправлять электронные сообщения, выдавая себя за эти организации, в обход защитных механизмов, установленных такими провайдерами электронной почты, как Gmail и Outlook. Получив поддельное письмо, адресаты с большей вероятностью откроют вложения, содержащие вредоносное ПО, или перейдут по ссылкам, устанавливающим на их компьютер шпионские программы.

По мнению исследователей, такая подделка возможна благодаря ряду уязвимостей, связанных с пересылкой писем. Оригинальный протокол, используемый для проверки подлинности письма, неявно предполагает, что каждая организация имеет собственную почтовую инфраструктуру с определенными IP-адресами, не используемыми другими доменами. Однако сегодня многие организации передают свою почтовую инфраструктуру на аутсорсинг Gmail и Outlook. В результате тысячи доменов делегировали право на отправку электронной почты от своего имени одной и той же третьей стороне. Хотя эти сторонние провайдеры подтверждают, что их пользователи отправляют электронную почту только от имени доменов, которыми они управляют, эту защиту можно обойти с помощью переадресации электронной почты.

Например, state.gov, почтовый домен Государственного департамента, позволяет Outlook отправлять электронные сообщения от его имени. Это означает, что письма, утверждающие, что они приходят от state.gov, будут считаться легитимными, если они приходят с почтовых серверов Outlook. В результате злоумышленник может создать поддельное письмо — письмо с фальшивыми данными, например, от Государственного департамента, — а затем переслать его через свою личную учетную запись Outlook. После этого поддельное письмо будет восприниматься получателем как легитимное, поскольку оно пришло с почтового сервера Outlook.

Подобный дефект существует и для пяти других почтовых провайдеров, включая iCloud. Исследователи также обнаружили другие более мелкие проблемы, затрагивающие пользователей Gmail и Zohomail — популярного в Индии почтового провайдера.

Исследователи сообщили о проблеме в Microsoft, Apple и Google, но, насколько им известно, она до сих пор не устранена.

Это неудивительно, поскольку для ее устранения потребовались бы значительные усилия, включая демонтаж и ремонт устаревших систем, существовавших на протяжении четырех десятилетий, — говорит Алекс Лю, первый автор статьи и аспирант факультета компьютерных наук и инженерии Школы Джейкобса Калифорнийского университета в Сан-Диего.

Несмотря на то, что существуют определенные краткосрочные меры, позволяющие значительно снизить подверженность описанным нами атакам, в конечном итоге для того, чтобы эффективно противостоять спуфинговым атакам в будущем, электронная почта должна стоять на более прочной основе безопасности.

Команда представила свои результаты на 8-м Европейском симпозиуме IEEE по конфиденциальности и безопасности, проходившем с 3 по 7 июля 2023 г. в Делфте, где работа получила награду за лучший доклад.

Самые разные атаки

Исследователи разработали четыре различных типа атак с использованием переадресации.

В первых трех случаях предполагается, что противник контролирует учетные записи, которые отправляют и пересылают электронную почту. Кроме того, злоумышленнику необходимо иметь сервер, способный отправлять поддельные сообщения, и учетную запись у стороннего провайдера, позволяющую открытую пересылку.

Вначале злоумышленник создает личный аккаунт для пересылки, затем добавляет поддельный адрес в «белый список» аккаунта — список доменов, которые не будут блокироваться, даже если они не соответствуют стандартам безопасности. Злоумышленник настраивает свою учетную запись на пересылку всех писем на указанный адрес. Затем злоумышленник подделывает письмо так, чтобы оно выглядело как письмо от state.gov, и отправляет его на свою личную учетную запись Outlook. Затем злоумышленнику остается только переслать поддельное письмо своему адресату.

Более 12% из 100 тыс. наиболее популярных почтовых доменов Alexa — самых популярных доменов в Интернете — уязвимы для этой атаки. В их число входит большое количество новостных организаций, таких как Washington Post, Los Angeles Times и Associated Press, а также регистраторы доменов, такие как GoDaddy, финансовые службы, такие как Mastercard и Docusign, и крупные юридические фирмы. Кроме того, уязвимыми являются 32% доменов. gov, включая большинство правительственных учреждений США, ряд силовых ведомств, а также агентства, работающие в сфере здравоохранения, например CDC. На уровне штатов и местных органов власти уязвимы практически все первичные домены органов власти штатов, а более 40% всех доменов. gov используются городами.

Во втором варианте этой атаки злоумышленник создает личную учетную запись Outlook для пересылки поддельных сообщений на Gmail. В этом случае злоумышленник принимает облик домена, который также обслуживается Outlook, и отправляет поддельное сообщение со своего вредоносного сервера на личную учетную запись Outlook, которая, в свою очередь, пересылает его на ряд учетных записей Gmail.

Этой атаке подвержены около 1,9 млрд. пользователей по всему миру.

Исследователи также обнаружили разновидности этой атаки, работающие для четырех популярных сервисов рассылок: Google groups, mailman, listserv и Gaggle.

Возможные решения

Исследователи раскрыли все уязвимости и атаки провайдерам. Компания Zoho исправила свою проблему и наградила команду вознаграждением за ошибку. Компания Microsoft также получила вознаграждение и подтвердила наличие уязвимостей. Сервис рассылок Gaggle заявил, что изменит протоколы для решения проблемы. Gmail также устранил проблемы, о которых сообщила команда, а iCloud проводит расследование.

Но чтобы действительно разобраться в проблеме, исследователи рекомендуют отключить открытую пересылку — процесс, позволяющий пользователям настраивать свою учетную запись на пересылку сообщений на любой указанный адрес электронной почты без какой-либо проверки адресата. Этот процесс реализован в почтовых системах Gmail и Outlook. Кроме того, такие провайдеры, как Gmail и Outlook, неявно доверяют известным почтовым службам, доставляя сообщения, переадресованные этими почтовыми службами, независимо от их наличия.

Провайдерам также следует отказаться от предположения, что письма, приходящие от другого крупного провайдера, являются легитимными, — этот процесс называется ослаблением политики проверки.

Кроме того, исследователи рекомендуют спискам рассылки запрашивать подтверждение истинного адреса отправителя перед доставкой электронной почты.

Более фундаментальным подходом была бы стандартизация различных аспектов пересылки, — пишут исследователи.

Однако внесение таких изменений потребует общесистемного сотрудничества и, скорее всего, столкнется со многими эксплуатационными проблемами.

Методы

Для каждого сервиса исследователи создавали несколько тестовых учетных записей и использовали их для пересылки электронной почты на контролируемые ими учетные записи получателей. Затем они анализировали заголовки полученных писем, чтобы лучше понять, какой протокол пересылки использует сервис. Атаки были протестированы на 14 почтовых провайдерах, которые используются 46% наиболее популярных интернет-доменов и государственных доменов.

Также были созданы списки рассылки на существующих сервисах, предоставляемых UC San Diego и сервисом рассылок Gaggle.

Исследователи отправляли поддельные сообщения только на созданные ими самими учетные записи. Сначала они тестировали каждую атаку, подменяя созданные и контролируемые ими домены. Убедившись, что атаки работают, исследователи провели небольшой набор экспериментов, в которых подделывались электронные письма с реальных доменов. При этом поддельные письма отправлялись только на тестовые учетные записи, созданные исследователями.

Одна из фундаментальных проблем заключается в том, что протоколы безопасности электронной почты представляют собой распределенные, необязательные и независимо настраиваемые компоненты, — пишут исследователи.

Это создает большую и сложную поверхность атаки с множеством возможных взаимодействий, которые не может легко предвидеть или администрировать какая-либо одна сторона.