فا

‫ Mailsploit به مهاجمان اجازه‌ی ارسال رایانامه‌های جعلی را بر بیش از 33 کارخواه رایانامه می‌دهد

امروزه استفاده از رایانامه بسیار بیشتر از قبل شده است و برای هر موضوعی مورد استفاده قرار می‌گیرد؛ اما متأسفانه استفاده از رایانامه راه امنی برای برقراری ارتباط نیست. تعداد زیادی از بدافزارها از طریق رایانامه گسترش می‌یابند و با استفاده از تکنیک‌های مهندسی اجتماعی کاربران را متقاعد می‌سازند پیوست‌های ناامن را باز یا بر روی پیوندهای phishing کلیک کنند. افزایش توزیع باج‌افزار از طریق رایانامه به وضوح تأثیر این مکانیزم‌ها را اثبات می‌کند.
محقق امنیتی آلمانی به نام سبری هادوک (Sabri Haddouche) مجموعه‌ای از آسیب‌پذیری‌هایی را کشف کرد که Mailsploit نام گرفته‌اند و به مهاجم اجازه‌ی جعل هویت رایانامه را می‌دهند و در برخی موارد کد مخربی را در رایانه‌ی کاربر اجرا می‌کنند.
اگرچه بخش اجرای کد Mailsploit نگران‌کننده است؛ اما مسئله‌ی اصلی حمله‌ی جعل رایانامه است که تمامی حفاظت‌های ضد جعل‌کردن جدید همچون (DMARC (DKIM / SPF یا فیلترهای مختلف هرزنامه را دور می‌‌زند. DMARC استانداردی است که به فرستندگان و گیرندگان رایانامه این امکان را می‌دهد تا اطلاعاتی را با یکدیگر به اشتراک بگذارند و از این طریق مانع از برخی کلاهبرداری‌های رایانامه‌ای شوند.
دورزدن حفاظت‌های DMARC به متجاوزان اجازه می‌دهد تا رایانامه‌هایی با هویت‌های جعلی ارسال کنند که هم کاربران و هم کارگزاران رایانامه به سختی می‌توانند به جعلی بودن آن پی ببرند. این امر کشف حملات phishing و رایانامه‌های حاوی بدافزار را دشوارتر می‌سازد.
آسیب‌پذیری Mailsploit ناشی از این است که کارگزاران رایانامه چگونه آدرس‌های رایانامه را که با RFC-1342 کدگذاری شده‌اند، تفسیر می‌کنند. RFC-1342 در سال 1992 تصویب شد و در آن روشی برای رمزگذاری کاراکترهای غیراسکی(ASCII) در هدرهای رایانامه شرح داده می‌شود.
طبق قاعده، تمام محتویات موجود در هدر رایانامه باید کاراکترهای اسکی باشد. استاندارد RFC-1342 به طور خودکار کاراکترهای غیراسکی را به کاراکترهای استاندارد اسکی تبدیل می‌کند و هنگامی که رایانامه‌‌ای در زمان ارسال از طریق کارگزار در خط موضوع یا آدرس دارای کاراکتر غیراسکی باشد، جلوی این اشتباه را می‌گیرد.
هادوک کشف کرد که بسیاری از کارخواهان (client) رایانامه، رشته‌ی رمزگذاری‌شده‌ی RFC-1342 را می‌گیرند و آن را به یک حالت غیراسکی رمزگشایی می‌کنند؛ اما رشته را از کدهای مخرب تصفیه نمی‌کنند.
علاوه‌براین، اگر رشته‌ی رایانامه‌ی رمزگشایی‌شده از RFC-1342 حاوی آدرس با بایت null یا دو آدرس یا بیشتر باشد، کارخواه رایانامه تنها آدرس رایانامه‌ی پیش از بایت null یا اولین آدرس رایانامه‌ی معتبری که مواجه می‌شود را می‌خواند. این بدان معنی است که مهاجم می‌تواند یک آدرس رایانامه‌ی معتبر که نام کاربری آن یک رشته‌ی رمزگذاری‌شده‌ی RFC-1342 است را ایجاد نماید:


برای دریافت متن کامل کلیک نمایید


نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 27 آذر 1396

امتیاز

امتیاز شما
تعداد امتیازها: 0