25 de abril de 2024

Falhas do STARTTLS que afetam os principais clientes e servidores de e-mail

19 de agosto de 2021

Os pesquisadores de segurança identificaram cerca de 40 vulnerabilidades diferentes em um mecanismo de criptografia TLS que afeta vários clientes e servidores de e-mail.

A exploração dessas vulnerabilidades pode levar a ataques direcionados de Man-in-the-Middle (MitM), nos quais o conteúdo da caixa de correio pode ser falsificado e as credenciais podem ser roubadas.

O que foi revelado

  • As falhas foram detectadas em várias implementações do STARTTLS e detalhadas por um grupo de pesquisadores no 30º Simpósio de Segurança USENIX. 
  • Durante o estudo, os pesquisadores realizaram uma varredura global na Internet, durante a qual cerca de 320.000 servidores de e-mail foram encontrados expostos ou vulneráveis ​​a ataques de injeção de comando.
  • Alguns dos clientes mais conhecidos afetados pelas falhas são identificados como Evolution, Apple Mail, Gmail, KMail, Mutt, Claws Mail, Samsung Email, Exim, Mail.ru, Yandex e Mozilla Thunderbird.

Limitações de STARTTLS que levam a ataques

STARTTLS é uma forma de TLS oportunista que permite que protocolos de comunicação de e-mail (por exemplo, SMTP, POP3, IMAP) sejam transferidos ou atualizados de uma conexão simples para uma conexão criptografada.

  • De acordo com os pesquisadores, atualizar as conexões dos protocolos de comunicação de e-mail via STARTTLS é inseguro e expõe o sistema a uma série de vulnerabilidades de segurança junto com ataques.
  • Para realizar esses ataques, o invasor é obrigado a adulterar as conexões feitas entre um cliente de e-mail e o servidor de e-mail de um provedor, juntamente com as credenciais de login de sua própria conta no mesmo servidor.

Múltiplos cenários de ataques

Em um cenário de ataque, essas falhas de implementação podem permitir a falsificação da caixa de correio inserindo conteúdo extra na mensagem do servidor em resposta ao comando STARTTLS antes do handshake TLS.

  • Devido a isso, o cliente alvo pode ser induzido a permitir comandos do servidor como se fossem parte da conexão criptografada.
  • Em outra situação, um invasor pode ignorar STARTTLS no IMAP enviando uma saudação PREAUTH para interromper a atualização da conexão e, em seguida, forçar o cliente a uma conexão não criptografada.

Mas não se preocupe, pois os patches para essas vulnerabilidades foram lançados.

Conclusão

Observando a gravidade dessas falhas, os pesquisadores sugeriram várias dicas de segurança, como configurar clientes de e-mail usando POP3, IMAP e SMTP com TLS implícito nas portas dedicadas (porta 465, 995 e 993) e oferecer TLS implícito por padrão.

Fonte: https://cyware.com/

Tags: , ,

Matérias Relacionadas

Estudo: Agente GPT-4 pode explorar vulnerabilidades não corrigidas

24 de abril de 2024

Criminosos entregam malware por meio de cracks de videogame no YouTube

3 de abril de 2024

O aumento das táticas de malware impulsiona uma epidemia global de crimes cibernéticos

2 de abril de 2024

Veja mais..

Criminosos colocam a venda bilhões de mensagens privadas de usuários do Discord

24 de abril de 2024

Estudo: Agente GPT-4 pode explorar vulnerabilidades não corrigidas

24 de abril de 2024

Siemens está trabalhando na correção de dispositivos afetados por bug do Firewall de Palo Alto

24 de abril de 2024

Vulnerabilidade de ‘confusão de dependência’ é encontrada no projeto Apache

23 de abril de 2024

Comentários do GitHub são usados ​​para enviar malware por meio de repositório da Microsoft

23 de abril de 2024