È stato identificato un nuovo pericolo nel panorama delle minacce informatiche che mina alla stabilità delle comunicazioni e-mail: un ricercatore di sicurezza, Timo Longin, consulente senior presso SEC Consult, ha infatti recentemente rivelato un metodo avanzato di phishing chiamato SMTP Smuggling.
Questa tecnica insidiosa consente agli attaccanti di eludere le difese più comuni, come DMARC, SPF e DKIM, mettendo a rischio organizzazioni e individui di fronte a attacchi mirati di phishing che sembrano provenire da fonti legittime.
Indice degli argomenti
SMTP Smuggling fa inviare email illecite da indirizzi legittimi
L’SMTP Smuggling sfrutta difetti zero-day nei server di messaggistica di giganti del settore come Microsoft, GMX e Cisco. Questi server, una volta vulnerabili, diventano strumenti nelle mani degli aggressori per inviare e-mail dannose con indirizzi di mittente falsi. La tecnica si basa sull’interpretazione della sequenza di codice di fine dati utilizzata nel protocollo SMTP, permettendo agli attaccanti di violare i dati del messaggio, inserire comandi arbitrari e inviare e-mail contraffatte.
Il metodo non si limita a colpire le e-mail in entrata, ma può essere utilizzato anche per le comunicazioni in uscita. Questo approccio innovativo permette agli aggressori di superare i controlli tipici di sicurezza e-mail, eludendo protocolli come DMARC, SPF e DKIM.
Longin sottolinea che l’SMTP Smuggling rappresenta una minaccia significativa, consentendo agli attaccanti di utilizzare l’ingegneria sociale mirata per eseguire attacchi di phishing avanzati, convincendo le vittime che le e-mail provengono da fonti attendibili.
Le vulnerabilità impattanti sono state riscontrate in server di posta elettronica di Microsoft, GMX e Cisco Secure Email, che quindi consentono l’SMTP Smuggling. Sebbene Microsoft e GMX abbiano reagito prontamente, correggendo le proprie vulnerabilità, Cisco Secure Email rimane un punto critico, con un potenziale errore di configurazione irrisolto. Inoltre, come spesso accade, una volta diffusa la patch, prima che venga diffusa e applicata da tutti, passa del tempo.
Particolarmente preoccupante è il numero di domini influenzati da queste vulnerabilità. Longin ha rivelato che sono milioni di domini in tutto il mondo: inclusi quelli di alto valore come microsoft.com, msn.com, github.com e altri, pienamente sfruttabili dagli aggressori. Inoltre, i ricercatori hanno scoperto che la falla in Cisco colpisce più di 40.000 istanze vulnerabili, aprendo la strada a e-mail contraffatte inviate a obiettivi di alto valore come Amazon, PayPal ed eBay.
Come mitigare il rischio di attacco
Nonostante le patch applicate da Microsoft e GMX, la situazione con Cisco solleva preoccupazioni. Contrariamente alle raccomandazioni dei ricercatori, Cisco non emetterà un avviso ai propri clienti, richiedendo invece che gli amministratori modifichino manualmente un’impostazione di configurazione per proteggersi.
In risposta a questa minaccia, SEC Consult consiglia alle organizzazioni di rimanere vigili e di effettuare regolarmente test di sicurezza sull’infrastruttura. Inoltre, incoraggia le aziende a condurre corsi di sensibilizzazione periodici per i dipendenti al fine di prevenire compromissioni attraverso questo nuovo vettore di attacco.
L’SMTP Smuggling rappresenta un’evoluzione preoccupante nel panorama della sicurezza e-mail. Organizzazioni e individui sono chiamati ad adottare misure proattive per proteggere le proprie comunicazioni digitali dalla minaccia del phishing, sempre crescente.
