1,62 miliona problemów z zabezpieczeniami e-maili w Australii

Masz problem z bezpieczeństwem wiadomości e-mail? Poznaj historię badania 1,7 miliona australijskich domen.

Czy skanowanie 1,7 miliona australijskich domen może prowadzić do odkrycia 1,62 miliona

problemów z bezpieczeństwem wiadomości email, związanych z SPF i DMARC? Czy w

Australii, aż 542 domeny mogły upoważnić dowolny adres IP do wysyłania e-maili ze swojej

domeny? Niestety tak. Jeśli jednak myślisz, że za tak ogromną skalą problemów stoją

bardzo różne przyczyny, jesteś w błędzie…

TL;DR: 58% australijskich domen ma jakąś formę problemu bezpieczeństwa z ich konfiguracją SPF i DMARC, przy czym 542 domeny omyłkowo pozwalają dowolnemu adresowi IP na świecie wysyłać uwierzytelnione przez SPF e-maile, maskując się jako ich domena.

 

Około 6 miesięcy temu przeprowadziłem eksperyment… Próbowałem znaleźć australijskie domeny,

które były podatne na ataki IP takeover poprzez «zwisające» adresy IP SPF. Ten eksperyment

zakończył się ogromnym sukcesem i znalazłem 264 australijskie organizacje podatne na tego typu

ataki. Po jego zakończeniu zacząłem się zastanawiać… jakie inne problemy mógłbym znaleźć,

przeprowadzając skanowanie australijskich rekordów SPF i DMARC?

Kilka podstaw bezpieczeństwa

Co to jest SPF?

Senders Policy Framework (SPF) jest publicznym rekordem, który organizacje publikują na swoich

serwerach nazw domen (DNS). Zazwyczaj zawiera on listę adresów IP, które informują, skąd będą

pochodzić legalne i autoryzowane emaile.

 

 

Co to jest DMARC?

Domain-based Message Authentication, Reporting and Conformance (DMARC) to protokół

uwierzytelniania poczty elektronicznej, który uzupełnia SPF i DKIM. Co ważne w kontekście tego

badania, wzmocniony rekord DMARC łagodzi również atak spoofingu emaili znany jako spf-bypass.

 

Rodzaje problemów związanych z bezpieczeństwem SPF i DMARC

Istnieją różne rodzaje problemów związanych z SPF i DMARC, które mogą być nadużywane i każdy z nich ma

różny wpływ na zagrożenie spoofingiem. Dla celów tego badania, przeanalizowałem domeny pod kątem 10

różnych typów błędnych konfiguracji bezpieczeństwa.

Badanie na 1,7 miliona australijskich domen

Dzięki badaniom, które przeprowadziłem 6 miesięcy wcześniej miałem wyjściową listę domen… Jeśli chcesz dowiedzieć się, jak zebrałem tę listę, przeczytaj pełny wpis. Po oczyszczeniu, deduplikacji

i usunięciu domen, które nie miały aktywnego serwera DNS, uzyskałem listę 1,7 miliona australijskich

domen, które miały posłużyć mi za przedmiot badania.

 

Skalowanie z jednej do wielu. Skanowanie DNS

Po kilku wstępnych testach zdałem sobie sprawę, że wyodrębnienie pełnego łańcucha dostaw

nadawców emaili każdej domeny (tj. rekordów SPF i DMARC) jest awykonalne. Nawet przy

wielowątkowości nie byłoby to do zrobienia w rozsądnym czasie… Problem polega na tym, że nie

zagłębiam się tylko w jedną warstwę SPF domeny, ale rekursywnie przeszukuję wszystkie sub-looki i

średnio przeszukuję 6 rekordów SPF na domenę. To 10,2 miliona zapytań DNS!

 

Przypomniałem jednak sobie, że funkcje AWS Lambda są zaprojektowane dokładnie dla tego

przypadku. Zapewniają one możliwość uruchamiania tego samego fragmentu kodu działającego 100 razy współbieżnie. Co najlepsze, nie wszystkie funkcje będą wyglądały na pochodzące z tego

samego IP, co oznacza, że nie zostanę zsinkholowany przez serwery DNS za wysyłanie zbyt wielu

żądań.

 

Uruchomienie 400 współbieżnych funkcji lambda przez 24 godziny

Lambda to rodzaj obliczeń w chmurze AWS, który uruchamia kod w wysoce wydajny sposób –

powszechnie określany jako bezserwerowe przetwarzanie. Mając to na uwadze, refaktoryzowałem

skrypt ekstrakcji SPF & DMARC i zbudowałem wokół niego funkcję lambda. Po kilku testach

i przeczytaniu o limitach stawek AWS zdecydowałem, że uruchomienie 400 współbieżnych funkcji

lambda w odstępach 5 minutowych będzie najbezpieczniejszą opcją. Każda funkcja lambda miała

przeskanować 15 domen i zapisać wyniki w bazie danych DynamoDB (NoSQL). Wymagało to, aby

funkcje Lambda działały przez 24 godziny!

 

(15 domen x 400 współbieżnych funkcji lambda) / 5-minutowe interwały = 1,200 domen na minutę x 60 minut = 72,000 domen na godzinę x 24 godziny = 1,700,000 domen

Zaskakujące wyniki, które mówią dużo

Moje skanowanie wykryło 1 621 112 problemów z bezpieczeństwem SPF i DMARC w 979 268 unikalnych domenach. Oznacza to, że aż 58% australijskich domen ma problem z utrzymaniem bezpieczeństwa.

Skanowanie wykryło 542 domeny, które zaimplementowały mechanizm “+all” na końcu swojego

rekordu SPF. To w zasadzie mówi odbiorcom poczty, że każdy adres IP może wysłać uwierzytelnione przez SPF emaile w imieniu tych domen. Muszę przyznać, że nie byłem zbytnio zaskoczony.

 

Kiedy wszystko, czego potrzeba, to symbol “+” zamiast “-“, “~” lub “?”, aby narazić

firmę na tego typu problem, ryzyko rośnie błyskawicznie.

To, co mnie zaskoczyło, to fakt, że 87 z dotkniętych domen (a być może nawet więcej) to klienci jednego dostawcy usług IT (MSP) z siedzibą w Melbourne, który specjalizuje się w branży sportowej. W tym przypadku MSP przez pomyłkę wprowadził symbol “+” zamiast “-“. Tak więc zamiast zablokować

domeny, w rzeczywistości naraził je na największy możliwy problem z SPF.

 

W tym momencie zdałem sobie sprawę, że muszę potwierdzić, czy te problemy są prawdziwe.

Wysłałem więc zaadresowany do siebie pojedynczy testowy email, wyglądający na pochodzący od

jednej z dotkniętych problemem organizacji, która używała mechanizmu “+” SPF.

Jak podejrzewałem, email przeszedł wszystkie kontrole SPF – omijając wszelkie filtry antyspamowe

i trafiając bezpośrednio do mojej skrzynki odbiorczej, a jedynym źródłem problemu było dołączenie

pojedynczego znaku na końcu rekordu SPF, który na zbyt wiele pozwalał.

 

Czego uczy ta historia?

Każda z 542 domen z mechanizmem “+” SPF jest znacznie bardziej podatna na ataki typu Business Email Compromise i phishing. Każdy może uruchomić serwer pocztowy i zacząć wysyłać

uwierzytelnione przez SPF emaile tak, jakby był którąś z tych domen.

 

W przypadku pozostałych 1 620 570 domen problemy z bezpieczeństwem SPF i DMARC, choć nie tak poważne, nadal pokazują słabe zastosowanie uwierzytelniania wiadomości e-mail w całym kraju i

są prawdopodobnie reprezentatywne dla globalnego zastosowania.

 

W związku z brakiem technicznej kontroli uwierzytelniania, odbiorcy wiadomości e-mail i bezpieczne bramki e-mail mają zmniejszoną zdolność do wykrycia

spoofa.

Nie do zapamiętania, ale do wykonania

Kontrola łańcucha dostaw poczty elektronicznej jest absolutnie kluczowa jeśli nie chcesz, aby Twoja

firma i jej klienci byli narażeni na niepotrzebne ryzyko związane z zagrożeniami opartymi na poczcie elektronicznej. Wykorzystując darmowe narzędzie do skanowania domen, stworzone w

CanIPhish, możesz zwizualizować pełny zakres swojego łańcucha dostaw nadawców i odbiorców

poczty e-mail.

 

Jeśli chcesz dowiedzieć się, jak zaimplementować w swoim biznesie takie rozwiązanie

(np. ASM), które poinformuje Cię o podobnym problemie bez czytania tego bloga,

skontaktuj się z naszymi ekspertami.

 

Źródło: https://caniphish.com/phishing-resources/blog/australian-spf-scan

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *