Hình 1. Minh họa giả mạo thư điện tử
Timo Longin - cố vấn bảo mật cấp cao tại Công ty bảo mật SEC Consult (Áo) cho biết trong một phân tích được công bố mới đây: “Kẻ tấn công có thể lạm dụng các máy chủ SMTP dễ bị tấn công trên toàn thế giới để gửi email độc hại từ các địa chỉ email tùy ý, cho phép triển khai các cuộc tấn công lừa đảo có mục tiêu”.
SMTP là giao thức dùng để gửi và nhận email qua mạng, chuyến tiếp thư từ ứng dụng email, kết nối SMTP được thiết lập giữa máy người dùng và máy chủ để truyền tải nội dung email. Sau đó, máy chủ dựa vào Mail Transfer Agent (MTA) để kiểm tra tên miền địa chỉ email của người nhận, nếu khác với tên miền địa chỉ email của người gửi, nó sẽ truy vấn hệ thống tên miền (DNS) để tra cứu ghi lại tên miền của người nhận và hoàn tất việc trao đổi thư.
Điểm quan trọng của kỹ thuật SMTP Smuggling bắt nguồn từ việc các máy chủ SMTP gửi đi và gửi đến xử lý các chuỗi dữ liệu cuối khác nhau, có khả năng tạo điều kiện cho kẻ tấn công can thiệp vào dữ liệu thư, sửa đổi các lệnh SMTP tùy ý.
Hình 2. Kỹ thuật SMTP Smuggling
Kỹ thuật này liên quan đến khái niệm của một phương thức tấn công đã biết được gọi là HTTP Request Smuggling, một kỹ thuật được sử dụng để can thiệp vào quá trình trang web xử lý các chuỗi yêu cầu HTTP nhận được từ một hay nhiều người dùng. Các lỗ hổng liên quan đến HTTP Request Smuggling thường xuất hiện khi máy chủ frontend và các máy chủ backend có sự mâu thuẫn trong việc xử lý các yêu cầu HTTP. Từ đó cho phép kẻ tấn công gửi hoặc đánh cắp một yêu cầu không xác định và ghép nó vào yêu cầu của người dùng tiếp theo.
SMTP Smuggling có hai biến thể: Inbound và Outbound. Nó cho phép tin tặc khai thác lỗ hổng bảo mật trên các máy chủ nhắn tin của Microsoft, GMX, Cisco để gửi email giả mạo hàng triệu tên miền. Việc triển khai SMTP từ Postfix và Sendmail cũng bị ảnh hưởng.
Điều này cho phép gửi các email giả mạo có vẻ như đến từ những người gửi hợp pháp và vượt qua các biện pháp bảo mật để đảm bảo tính xác thực của các thư đến. Trong khi Microsoft và GMX đã khắc phục sự cố thì Cisco cho biết những phát hiện này không phải là "lỗ hổng mà là một tính năng và họ sẽ không thay đổi cấu hình mặc định". Do đó, việc tấn công SMTP Smuggling vào các phiên bản Email bảo mật của Cisco vẫn có thể thực hiện được với cấu hình mặc định. Để khắc phục, SEC Consult khuyến nghị người dùng Cisco thay đổi cài đặt của họ từ "Clean" thành "Allow" để tránh nhận các email giả mạo có kiểm tra DMARC hợp lệ.