钓鱼邮件在没有盗号的情况下却能使用合法的邮件地址,这令我们感到困惑,最近发现的邮件客户端漏洞或许能解释这一切。
德国安全研究员 Sabri Haddouche发现了一些漏洞,分别存在于33个邮件客户端中,这些漏洞可以让任意用户伪造身份发送欺诈邮件,更可怕的是,这些欺诈邮件可以顺利绕过反欺诈保护机制,以迷惑收件人。Haddouche 把这些漏洞统称为 MailSploit 漏洞。
目前的许多邮件客户端都在使用RFC-1342邮件协议的编码字符串,在该协议中,邮件头中包含的所有内容均为ASCII字符,在发送电子邮件时,RFC-1342会自动将非ASCII字符转换为标准ASCII字符,以避免含有非ASCII字符主题或电子邮件地址的电子邮件在通过邮件服务器时发生错误。
以上是正常的情况,但当邮件客户端存在MailSploit漏洞,这一切将不再按照原有规则进行。
Haddouche发现,大量的电子邮件客户端会采用RFC-1342编码的字符串,将其解码为非ASCII状态,却略过了检查过程。
还有更重要的——如果RFC-1342解码的电子邮件字符串包含空字节或者是两个及两个以上的电子邮件地址时,电子邮件客户端将只读取空字节之前的电子邮件地址或其遇到的第一个有效电子邮件地址。
这就意味着攻击者可以轻松创建一个欺骗性电子邮件地址,以掩饰真实的电邮地址。
利用这些漏洞,攻击者完全可以将钓鱼邮件伪装成另外一个真实合法的发件地址——500强企业或者某公司高管,连仿冒域名的过程都省去了。
显然,这种精心包装的邮件很难被查出,它不但能绕过邮件服务器的反垃圾装置,还能轻松骗过收件人,在信任环境下,任何钓鱼的手段都将轻而易举。
Haddouche测试发现,多达33家存在MailSploit 漏洞,包括Apple Mail(macOS, iOS, and watchOS)、Mozilla Thunderbird、 部分 Microsoft 客户端、Yahoo Mail、ProtonMail 等。
这33家中只有8家修复了电子邮件地址解析错误问题。其他12家供应商对这个漏洞仅作以分类管理,尚未提出解决方案,另有12家供应商甚至不承认Haddouche提交的漏洞报告。
目前,对于政府机关及各大企业、机构而言,钓鱼邮件是所有网络攻击中最活跃的一种,几乎任何一家使用邮件办公的企业都曾收到过欺诈邮件。尽管多数欺诈邮件会被反垃圾装置直接丢入垃圾站,还有一部分能够被鉴别出,但文中所述漏洞会令以往的鉴别方法统统不奏效。
这提醒我们——当使用惯用的法则来维护安全时,应当意识到,再熟悉的领域也可能存在未知风险。
文章来源于商务密邮 邮件安全中心