SMTP Smuggling / Contrabando de SMTP: entenda o novo ataque de e-mail

Por Roberto Chu e Junior Cunha

Uma nova técnica de ataque que permite enviar e-mails falsos veio à tona em dezembro. É o contrabando de SMTP, ou SMTP Smuggling, que consegue driblar protocolos de segurança de e-mail.

A técnica foi revelada por Timo Longin, pesquisador referência em ataques DNS, em parceria com a SEC Consult.

Neste artigo, nós explicamos como a técnica funciona e como o MailInspector consegue barrá-la.

Principais tópicos deste artigo

Como funciona o ataque

O ataque tem como alvo o protocolo SMTP (Simple Mail Transfer Protocol), utilizado pelos servidores para a troca de e-mails.

Em linhas gerais, o invasor consegue abusar das diferenças na maneira como os servidores SMTP de saída e de entrada interpretam uma sequência que indica o fim dos dados da mensagem.

Isso permite a injeção de comandos SMTP em mensagens de e-mail de uma forma que faz com que os servidores de recebimento as tratem como duas mensagens separadas, sendo que uma delas tem seu cabeçalho “De” falsificado. 

Basicamente, o ataque envolve a composição de dois serviços de e-mail com diferenças específicas na maneira como lidam com o diálogo SMTP:

  •  A mensagem é originada em um serviço de e-mail “A” ( geralmente com uma conta roubada/vazada) que não reconhece quebras de linha malformadas no diálogo SMTP e que acaba encaminhando elas exatamente como foram recebidas.
  •  A mensagem é direcionada para uma conta no serviço de e-mail “B” que suporta quebras de linha malformadas no diaĺogo SMTP. Neste cenário, este serviço é enganado para receber duas mensagens de e-mail: uma mensagem com o conteúdo “legítimo” e a outra mensagem com o cabeçalho “contrabandeado” mais o texto do corpo após os comandos SMTP “contrabandeados”.

Além disso, como o envelope da mensagem principal passa com êxito nas verificações de protocolos de segurança de e-mails, tais como SPF, DKIM e DMARC, a mensagem falsificada é entregue nas caixas do correio eletrônico.

Exemplo prático de contrabando de SMTP

No exemplo indicado, o pesquisador insere no corpo da mensagem um comando “contrabandeado”: um “MAIL FROM” com o e-mail falso pelo qual quer se passar.

Por conta das diferentes interpretações do protocolo SMTP, o servidor que está recebendo o e-mail acredita que o FROM do ENVELOPE (o remetente real) é o MAIL FROM falso inserido no corpo do e-mail.

Dessa forma, o ataque burla qualquer verificação dos protocolos de segurança de e-mail, porque para o servidor recebedor o e-mail está vindo do falso MAIL FROM.

Por que isso importa?

A pesquisa mostrou que o ataque foi efetivo contra os principais provedores de serviços de e-mail, incluindo a Microsoft, que não reconheceram as mensagens mal formatadas e as encaminharam de forma exata ao destinatário.

Essa falha possibilita que um cibercriminoso envie e-mails falsos se passando por milhões de domínios e marcas, como a própria Microsoft e seus clientes (incluindo marcas famosas que já são comumente usadas em golpes de phishing).

Ele pode se passar, por exemplo, por um diretor da sua instituição solicitando o pagamento de um boleto; ou pelo contato de suporte do Outlook, exigindo que um usuário troque ou compartilhe sua senha.

Nos exemplo que baseia a pesquisa, por exemplo, um e-mail falso com o remetente “admin@outlook.com” foi enviado com êxito. 

Como o MailInspector protege contra contrabando de SMTP

Embora o SMTP Smuggling burle os mecanismos de autenticação de servidores de e-mails, o sistema de inteligência do MailInspector captura os falsos e-mails com base em seu contexto e em diversos outros pontos de análise.

Além disso, o MailInspector também possui mecanismos complementares de proteção que atuam em outras etapas no diálogo SMTP, detectando muitos outros ataques que exploram ou possam vir a explorar vulnerabilidades do protocolo SMTP.

Outra vantagem do MailInspector é sua abordagem única que combina Secure Email Gateway + API, o que permite uma integração total com os provedores de e-mail e possibilita entender os diferentes vetores de ataque para agir de forma efetiva.

Ademais, seguindo sempre as melhores práticas, o time de engenharia da HSC, em conformidade com o tempo de resposta/resolução padrão no mercado de Segurança da Informação, atuou rapidamente e em menos de 24h disponibilizou a correção/mitigação desta vulnerabilidade. Realizamos testes com diversas amostras recebidas e os resultados foram efetivos.

Portanto, o MailInspector já conta com proteção ativada contra os ataques de SMTP Smuggling.

Inscreva-se para receber notícias de cybersecurity

Bloqueie ataques que passam despercebidos por Microsoft e Google

Treine a sua equipe em cibersegurança

RECEBA NOTÍCIAS DE

Cybersecurity