Af Torben B. Sørensen, 07/12/17
Sikkerhedsforsker Sabri Haddouche har opdaget en sårbarhed, han kalder Mailsploit. Angribere kan udnytte sårbarheden til at sende mails med forfalsket afsenderadresse – også selvom man bruger DMARC (Domain-based Message Authentication, Reporting & Conformance).
Sårbarheden ligger i mailprogrammernes behandling af RFC-1342. Det er en standard for, hvordan man angiver afsendernavne med andre tegnsæt end ASCII.
Angribere kan fx sende en mail med flere afsenderadresser i afsenderfeltet. De sårbare mailprogrammer viser kun den første, forfalskede adresse, men ikke den ægte, der står til sidst.
En anden sårbarhed går ud på at placere en byte med værdien nul i afsenderfeltet. Så holder nogle mailprogrammer op med at læse, hvad der står efter den byte.
Nogle mailprogrammer tjekker ikke, om der er script-kode i afsenderfeltet. På den måde kan en angriber afvikle programkode, når mailen vises.
Apple arbejder på at lukke hullet i Mail.app til macOS og iOS. MDet samme gælder Mail for Windows 10 og Microsoft Outlook. Yahoo Mail til iOS og Android er rettet. Gmail er ikke sårbar.
Anbefaling
Tjek den samlede liste over sårbare mailprogrammer.
Links
- Mailsploit
- Vendors affected by Mailsploit
- Mailsploit Lets Attackers Send Spoofed Emails on Over 33 Email Clients, artikel fra Bleeping Computer
- Mailsploit: It's 2017, and you can spoof the 'from' in email to fool filters, artikel fra The Register
- ‘Mailsploit’ Lets Hackers Forge Perfect Email Spoofs, artikel fra Wired
- Mailsploit: Popular Email Apps Allow Spoofing, Code Injection, artikel fra SecurityWeek