Categories: RELATÓRIOS E TENDÊNCIAS

Falhas do STARTTLS que afetam os principais clientes e servidores de e-mail

A exploração dessas vulnerabilidades pode levar a ataques direcionados de Man-in-the-Middle (MitM), nos quais o conteúdo da caixa de correio pode ser falsificado e as credenciais podem ser roubadas.

O que foi revelado

  • As falhas foram detectadas em várias implementações do STARTTLS e detalhadas por um grupo de pesquisadores no 30º Simpósio de Segurança USENIX.
  • Durante o estudo, os pesquisadores realizaram uma varredura global na Internet, durante a qual cerca de 320.000 servidores de e-mail foram encontrados expostos ou vulneráveis ​​a ataques de injeção de comando.
  • Alguns dos clientes mais conhecidos afetados pelas falhas são identificados como Evolution, Apple Mail, Gmail, KMail, Mutt, Claws Mail, Samsung Email, Exim, Mail.ru, Yandex e Mozilla Thunderbird.

Limitações de STARTTLS que levam a ataques

STARTTLS é uma forma de TLS oportunista que permite que protocolos de comunicação de e-mail (por exemplo, SMTP, POP3, IMAP) sejam transferidos ou atualizados de uma conexão simples para uma conexão criptografada.

  • De acordo com os pesquisadores, atualizar as conexões dos protocolos de comunicação de e-mail via STARTTLS é inseguro e expõe o sistema a uma série de vulnerabilidades de segurança junto com ataques.
  • Para realizar esses ataques, o invasor é obrigado a adulterar as conexões feitas entre um cliente de e-mail e o servidor de e-mail de um provedor, juntamente com as credenciais de login de sua própria conta no mesmo servidor.

Múltiplos cenários de ataques

Em um cenário de ataque, essas falhas de implementação podem permitir a falsificação da caixa de correio inserindo conteúdo extra na mensagem do servidor em resposta ao comando STARTTLS antes do handshake TLS.

  • Devido a isso, o cliente alvo pode ser induzido a permitir comandos do servidor como se fossem parte da conexão criptografada.
  • Em outra situação, um invasor pode ignorar STARTTLS no IMAP enviando uma saudação PREAUTH para interromper a atualização da conexão e, em seguida, forçar o cliente a uma conexão não criptografada.

Mas não se preocupe, pois os patches para essas vulnerabilidades foram lançados.

Conclusão

Observando a gravidade dessas falhas, os pesquisadores sugeriram várias dicas de segurança, como configurar clientes de e-mail usando POP3, IMAP e SMTP com TLS implícito nas portas dedicadas (porta 465, 995 e 993) e oferecer TLS implícito por padrão.

Fonte: https://cyware.com/

Ninja

Na cena de cybersecurity a mais de 25 anos, Ninja trabalha como evangelizador de segurança da informação no Brasil. Preocupado com a conscientização de segurança cibernética, a ideia inicial é conseguir expor um pouco para o publico Brasileiro do que acontece no mundo.

Share
Published by
Ninja
Tags: exploit_starttlsstarttls_bugstarttls_weak
4 anos ago

Recent Posts

Instalador falso do AnyDesk espalha o MetaStealer por meio do golpe ClickFix

Um novo e inteligente golpe do ClickFix está usando um instalador falso do AnyDesk e…

1 semana ago

Atores de ameaças abusam da IA ​​Grok do X para espalhar links maliciosos

Pesquisadores descobriram que agentes de ameaças exploram o Grok, IA integrada ao X (antigo Twitter),…

1 semana ago

WinRAR 0day: Explorações em andamento

As explorações permitem backdooring persistente quando os alvos abrem arquivos armadilhados.

1 mês ago

Escritórios do governo na Carolina do Norte, Geórgia, sofrem ataques cibernéticos

Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…

3 meses ago

Nytheon AI Tool está ganhando tração em forums de Hacking

O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…

3 meses ago

Nova Vulnerabilidade 0day de Injection no Salesforce SOQL Expõe Milhões de Implantações

Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…

3 meses ago