<<< nazaj

Tihotapljenje zahtev 2: SMTP

spisal 2023-12-21 | nazadnje spremenil 2024-01-06

Pred dobro četrtino dneva je kot nalašč tik pred novoletnimi prazniki na poštni seznam oss-security priletelo pismo, ki opisuje novo metodo tihotapljenja zahtev. O tej vrsti napada na računalniške sisteme sem pisal že v prejšnji objavi, le da sem se omejil na HTTP.

SMTP protokol za izmenjavo elektronske pošte deluje tako, da lahko na isti TCP povezavi po samem sporočilu nadaljujemo z ukazi SMTP strežniku in po možnosti pošljemo še več sporočil. Poraja pa se vprašanje, kdaj je sporočilo res zaključeno. Če je kdo že na roke poslal kakšno pismo, ve, da strežnik navadno odgovori z "End data with CRLF.CRLF" oziroma nečim podobnim. Ker pa je SMTP izdelan tako, da ga lahko pišemo na roke, bodo nekatere implementacije namesto točno CRLF.CRLF kot konec sporočila prepoznale tudi druge podobne stvari, denimo LF.LF. Spet smo pri problemu, kako veliko je sporočilo, ki ga je ustvaril uporabnik, in kdaj se spet nadaljujejo ukazi (en.wikipedia.org/wiki/In-band_signaling). Če en SMTP strežnik LF.LF ne prepozna kot konec sporočila, drugi pa, bo sporočilo, ki ga prvi strežnik posreduje drugemu, lahko vsebovalo pretihotapljene SMTP ukaze.

Za osvežitev delovanja SMTP je tukaj primer seje SMTP, ki prikazuje pošiljanje dveh SMTP sporočil hkrati. Vse končnice vrstic so bile LF, strežnik pa je sosledje bajtov prepoznal kot dve sporočili. Kaj pa, če bi bilo odebeljeno besedilo eno pismo, ki ga je poslal zlonamerni napadalec?


b:~[0]# nc localhost 25
Connection to localhost (::1) 25 port [tcp/smtp] succeeded!
220 b.sijanec.eu ESMTP Postfix
HELO b.sijanec.eu
250 b.sijanec.eu
MAIL FROM: anton@sijanec.eu
250 2.1.0 Ok
RCPT TO: devnull@sijanec.eu
250 2.1.5 Ok
DATA
354 End data with .
From: anton@sijanec.eu
To: devnull@sijanec.eu
Subject: Primer elektronskega pisma

Pozdravljen!
.
250 2.0.0 Ok: queued as E3CD2955167E
MAIL FROM: anton2@sijanec.eu
250 2.1.0 Ok
RCPT TO: devnull@sijanec.eu
250 2.1.5 Ok
DATA
354 End data with .
From: anton2@sijanec.eu
To: devnull@sijanec.eu
Subject: Drugo elektronsko pismo

To je drugo pismo po isti TCP povezavi.
.
250 2.0.0 Ok: queued as 4D9319551695
QUIT
221 2.0.0 Bye

Po fizikalni indukciji lahko torej sklepamo, da na internetnemu protokolu, ki je berljiv človeku in ga človek lahko na roke uporablja in lahko za več nepovezanih dejanj uporabi isto TCP povezavo ter uporablja in-band signalling, slej ko prej najdemo neke varnostne pomanjkljivosti, ki jih lahko izkoristimo za tihotapljenje zahtev.

Več podrobnosti na povezavi sec-consult.com/blog/detail/smtp-smuggling-spoofing-e-mails-worldwide/

komentarji

pokaži/skrij


oblikovanje
  • na novi vrstici napišite !http://url/do/slike da vgradite sliko
  • začni vrstico z *, da izdelaš seznam
  • vrstice, ki se začno z >, bodo obarvane zeleno
  • nizi >>xxxx bodo citirali komentarje
  • povezave zaznam avtomatično