Kurz vor Weihnachten (Frohes Neues!) beschenken Sicherheitsforscher der Firma SEC-Consult die Welt mit einem Blog-Post über ihre Erkenntnisse über eine Sicherheitsherausforderung, die durch fehlerhafte Implementierungen des SMTP-Standards entstehen kann. Timo Longin, einer der Urheber, hat einen guten Vortrag dazu auf der 37C3 gehalten.
Auch das BSI berichtet.
Was ist es?
Ich will nicht ins Detail gehen, denn das haben die obigen Quellen ausführlich und gut verständlich getan. Nur so viel:
Durch nicht standardkonforme (Nicht-)Beendigung der Data-Sequence im SMTP-Dialog ist es möglich, den Message-Transfer-Agent (MTA - vulgo: Mailserver) dazu zu bringen, eine E-Mail quasi "Huckepack" zu nehmen, die damit dann eventuellen Überprüfungen der SMTP Autorisierung (z.B. SPF) umgehen kann.
Ausgehend kann ich damit eine Domäne spoofen, die ebenfalls über denselben MTA Mails versendet (Bis vor kurzem z.B. in Exchange Online: nutze einen gültigen Account, um eine korrekte Mail zu senden und lass diese noch eine zweite "Huckepack" nehmen, die nicht von der eigenen Domäne ist, sondern von einer anderen, die ebenfalls Exchange Online nutzt bzw. authorisiert).
Beim eingehenden MTA kann man das nutzen, um eine E-Mail zu senden, deren SPF/DKIM/DMARC ein "pass" erzeugt (und dann ggf. aufgrund eines ungültigen Empfängers gedroppt wird), aber diese dann eine weitere "Huckepack" nehmen, die eine beliebige andere Domäne spooft, aber dann als validiert durchgeht.
Eine "fantastische" Gelegenheit für Phishing-Mails.
Ist Domino betroffen?
Thomas Hampel, Regional Manager bei HCL, veröffentlichte einen Blog-Post, in dem er meine eigenen bescheidenen Tests bestätigt, dass Domino nicht betroffen ist. Offenbar ist Domino an dieser Stelle vollständig RFC konform. Nach meinen Tests scheint es so zu sein, dass Domino inkorrekte Sequenzen durch "Dot-Stuffing" escaped.
Da Domino relativ selten direkt im Web steht, ist das vermutlich auch selten relevant. Bitte prüfen Sie jedoch Ihre Mail-Gateways, ob die betroffen sein könnten.
Bekanntermaßen sind postfix, sendmail, exim und Cisco betroffen. Sprechen Sie uns gerne an, wenn wir Sie unterstützen dürfen, die Verwundbarkeit in Ihrem sendmail-, exim- oder postfix-basierten Gateway zu mitigieren - und denken Sie daran: auch wenn weder - noch drauf steht, könnte es dennoch drin sein.