Thought Leadership
Das Cybersicherheitsunternehmen SEC Consult veröffentlichte kürzlich Informationen zu einer neuen Angriffstechnik mittels “Simple Mail Transfer Protocol (SMTP) Smuggling”. Beim SMTP Smuggling machen sich die Angreifenden zunutze, dass verschiedene SMTP-Implementierungen die Kennzeichnung des Endes einer E-Mail-Nachricht unterschiedlich interpretieren.
Sie können so E-Mails versenden, die durch ein betroffenes E-Mail-System in mehrere E-Mails aufgespalten werden. Auf diesem Weg entstehen neue E-Mails, die gefälschte Absender nutzen (Spoofing), Authentifizierungsmechanismen, wie SPF, DKIM und DMARC umgehen oder Warnungen, wie z.B. eine Spam-Markierung in der Betreffzeile, nicht mehr tragen.
Durch die Ausnutzung von Unterschieden in der Interpretation einer Sequenz zwischen ausgehenden und eingehenden SMTP-Servern können Angreifende gefälschte E-Mails im Namen vertrauenswürdiger Domänen versenden. Dies ermöglicht wiederum verschiedenste Social Engineering– bzw. Phishing-Angriffe. Eine detaillierte technische Erklärung von SMTP Smuggling liefert der von SEC Consult veröffentlichte Blogartikel.
Im Rahmen des Responsible Disclosure Prozesses des Unternehmens wurden durch SEC Consult identifizierte Großunternehmen (Microsoft, Cisco, GMX/Ionos) mit betroffenen IT-Produkten und IT- Services, vor der Veröffentlichung informiert, um ausreichend Zeit zur Behebung der Schwachstelle zu haben.
Microsoft und GMX haben daraufhin ihre Maildienste vor SMTP Smuggling abgesichert. Cisco hält laut SEC Consult das gefundene Problem in (on-prem / cloud-basiert) Cisco Secure Email (Cloud) Gateway für ein Feature und keine Schwachstelle. Das Problem in Cisco Secure Email Gateway ist das (standardmäßige) CR and LF Handling – dies erlaubt Nachrichten mit CR und LF Zeichen und konvertiert CR und LF Zeichen zu CRLF Zeichen. Dieses Verhalten erlaubt den Empfang von gefälschten Mails mit validem DMARC.
Bewertung
Die Schwachstelle besteht nicht in den zugrunde liegenden Standards, sondern in der oftmals unzureichenden Implementierung der selbigen. Der Angriff ist mit vergleichsweise geringem Aufwand durch eine striktere Interpretation der RFC5321 [RFC08a] und RFC5322 [RFC08b] sowie der Nutzung des BDAT-Kommandos, bei welchem
der Sender die Datengröße explizit angibt, mitigierbar.
Maßnahmen
Das BSI empfiehlt, bereitgestellte Patches einzuspielen und sicherzustellen, dass genutzte IT-Systeme so konfiguriert sind, dass nur RFC-konforme Ende-Kennzeichnungen unterstützt werden. Für das IT-Produkt (on-prem / cloud-basiert) Cisco Secure Email (Cloud) Gateway empfiehlt SEC Consult eine Anpassung der CR and LF Handling Konfiguration auf das Verhalten “Allow” (siehe [CISCO23]), um sich vor Angriffen mittels SMTP-Smuggling zu schützen.
Das BSI informiert bereits über das Warn- und Informationsdienstportal (WID) über bereitstehende Patches bzw. Mitigationsmaßnahmen für Systemanwendende. So stellen bspw. die Entwickler von Postfix eine Anleitung für einen Workaround bereit [POST23].
Es ist davon auszugehen, dass auch Hersteller von bislang nicht genannten E-Mailinfrastruktur-Produkten in den kommenden Tagen Workarounds oder Patches veröffentlichen, die den hier beschriebenen Sachverhalt adressieren. IT-Sicherheitsverantwortliche sollten daher die Kommunikationskanäle der Unternehmen, deren Lösungen in der eigenen Institution zum Einsatz kommen, regelmäßig auf Neuigkeiten überprüfen. Bei produktspezifischen Fragen sollte der Kundenservice kontaktiert werden.
www.bsi.bund.de
