Майже 40 різних уразливостей, пов’язаних з гнучким механізмом шифрування STARTTLS в поштових клієнтах і серверах, виявили дослідники у галузі кібербезпеки Даміан Поддебняк (Damian Poddebniak), Фабіан Ізінг (Fabian Ising), Ханно Бек (Hanno Böck) і Себастьян Шінзель (Sebastian Schinzel).

Експлуатація уразливостей дозволяє зловмисникам здійснювати атаки типу “людина посередині” (MitM), підробляти вміст поштової скриньки і викрадати облікові дані.

За результатами сканування Мережі було виявлено 320 тисяч поштових серверів, уразливих до так званої атаки з використанням впровадження команд. Серед популярних поштових клієнтів, на роботу яких вплинула уразливість, – Apple Mail, Gmail, Mozilla Thunderbird, Claws Mail, Mutt, Evolution, Exim, Mail.ru, Samsung Email, Yandex і KMail.

Для здійснення атак зловмисникові необхідно втрутитися у з’єднання, встановлені між поштовим клієнтом і поштовим сервером постачальника, а також мати облікові дані для входу в свій обліковий запис на тому ж сервері.

Альтернативний сценарій атаки може полегшити підробку поштової скриньки шляхом вставки додаткового вмісту в повідомлення сервера у відповідь на команду STARTTLS перед TLS-рукостисканням. Хакер може обманом змусити клієнт обробити команди сервера так, як якщо б вони були частиною зашифрованого з’єднання. Дослідники назвали атаку “відповідним впровадженням”.

Останній варіант атаки стосується IMAP-протоколу, який визначає стандартизований спосіб для поштових клієнтів отримувати повідомлення електронної пошти з поштового сервера за допомогою бездротової технології TCP/IP.

Зловмисник може обійти STARTTLS в IMAP, відправивши вітання PREAUTH – відповідь, який вказує, що з’єднання вже було аутентифіковано зовнішніми засобами. Таким чином хакер може запобігти оновлення з’єднання і змусити клієнта встановити незашифроване з’єднання.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Чому три випадкових слова – це найкращий пароль? ІНСТРУКЦІЯ

Як не стати жертвою програм-вимагачів? ПОРАДИ

Якими будуть нові смартфони Galaxy Z Fold 3 та Z Flip 3? ОГЛЯД

Як уникнути шахрайських схем із використанням deepfake-відео? ПОРАДИ

Навіщо інші антивіруси, якщо у Вас є Windows Defender? ПОРАДИ

Як налаштувати режим “Не турбувати” на телефонах Samsung Galaxy? – ІНСТРУКЦІЯ

Нагадаємо, ізраїльський виробник рішень для верифікації та забезпечення прозорості в мобільних та online-екосистемах GeoEdge повідомив про виявлення першої у світі кібератаки на домашні IoT-пристрої з використанням шкідливої реклами.

Також баг на офіційному сайті виробника автомобілів Ford Motor відкривав конфіденційні дані, доступ до яких міг отримати будь-який хакер. Серед інформації були бази даних клієнтів, відомості про співробітників тощо.

Окрім цього, американська трубопровідна компанія Colonial Pipeline виплатила 4,4 мільйона доларів хакерам, які викрали особисті дані майже 6 тисячам нинішніх та колишніх працівників компанії. Colonial Pipeline була вимушена сплатити викуп через ймовірність загрози газової кризи.

І майже анекдотична ситуація трапилася із розробником шкідливих програм, який розпочав їх тестування у своїй системі, щоб випробувати нові функції, а згодом дані потрапили на розвідувальну платформу хакерів. Мова йде про розробника Raccoon – трояна-викрадача інформації, який може збирати дані з десятків програм.