Vylepšení zabezpečení e-mailu pomocí Procmail

Original page: http://www.impsec.org/email-tools/sanitizer-threats.html

Hrozby, exploity a útoky


E-mailové útoky

Existují čtyři typy útoků na zabezpečení systému, které lze provést prostřednictvím elektronické pošty:

  • Active Content útoky, které využívají různé aktivní HTML a skriptovací funkce a chyby.
  • Útoky s přetečením vyrovnávací paměti, kdy útočník odešle něco, co je příliš velké na to, aby se vešlo do vyrovnávací paměti s pevnou velikostí v e-mailovém klientovi, v naději, že část, která se nevejde, přepíše kritické informace a nebude bezpečně zahozena.
  • Útoky trojského koně, kdy spustitelný program nebo makrojazykový skript, který uděluje přístup, způsobuje poškození, šíří se nebo dělá jiné nevítané věci, je oběti zaslán poštou jako souborová příloha označená jako něco neškodného, ​​jako je blahopřání nebo spořič obrazovky nebo skryté v něčem, co oběť očekává, jako je tabulka nebo dokument. Toto se také nazývá  útok sociálního inženýrství, kde cílem útoku je přesvědčit oběť, aby otevřela přílohu zprávy.
  • Shell Script útoky, kde je fragment unixového shell skriptu zahrnut do hlaviček zpráv v naději, že nesprávně nakonfigurovaný poštovní klient Unixu provede příkazy.

Dalším útokem na soukromí uživatele, nikoli však na bezpečnost systému, je použití takzvaných Web Bugs, které dokážou upozornit sledovací web, kdy a kde je daná e-mailová zpráva přečtena.


Aktivní útoky obsahu, známé jako útoky na prohlížeč, aktivní útoky HTML nebo útoky skriptování

Tyto útoky jsou zaměřeny na lidi, kteří ke čtení svých e-mailů používají webový prohlížeč nebo e-mailový klient s podporou HTML, což je v dnešní době velmi velká část počítačové komunity. Tyto útoky se obvykle pokoušejí využít skriptovací funkce HTML nebo e-mailového klienta (obvykle Javascript nebo VBScript) k získání soukromých informací z počítače oběti nebo ke spuštění kódu na počítači oběti bez souhlasu oběti (a možná i bez vědomí oběti).

Méně nebezpečné formy těchto útoků mohou automaticky způsobit, že počítač příjemce zobrazí obsah, který si útočník přeje, například automatické otevření webové stránky s reklamou nebo pornografií při otevření zprávy nebo provedení útoku Denial-of-Service na počítači příjemce prostřednictvím kód, který zamrzne nebo zhroutí prohlížeč nebo celý počítač.

Nejjednodušší způsob, jak se takovým útokům úplně vyhnout, je nepoužívat ke čtení e-mailů webový prohlížeč nebo e-mailový klient s podporou HTML. Protože mnoho z těchto útoků nezávisí na chybách v softwaru e-mailového klienta, nelze jim zabránit prostřednictvím záplat e-mailového klienta. Máte-li používat webový prohlížeč nebo HTML vědomi e-mailového klienta, můžete se být vystaven těmto druhům útoků.

Vzhledem k tomu, že některé z těchto útoků závisejí na schopnosti e-mailového klienta spouštět skriptované HTML spíše než na slabinách konkrétního operačního systému, mohou být tyto útoky multiplatformní. E-mailový klient s povoleným HTML na Macintoshi je stejně zranitelný vůči aktivním e-mailovým útokům HTML jako e-mailový klient s povoleným HTML na Windows nebo Unix. Chyba zabezpečení se bude lišit systém od systému na základě e-mailového klienta, nikoli operačního systému.

Přechod na e-mailového klienta, který nepodporuje HTML, není pro mnoho lidí reálnou možností. Alternativou je odfiltrovat nebo upravit problematický kód HTML nebo skriptu dříve, než dostane e-mailový klient možnost jej zpracovat. Může být také možné nakonfigurovat e-mailového klienta tak, aby vypínal interpretaci kódu skriptu. Podrobnosti naleznete v dokumentaci k programu. Důrazně doporučujeme vypnout skriptování ve vašem e-mailovém klientovi – neexistuje žádný dobrý důvod pro podporu skriptovaných e-mailových zpráv.

Uživatelé aplikace Microsoft Outlook by měli navštívit tuto stránku, která popisuje zpřísnění nastavení zabezpečení aplikace Outlook.

Příkladem tohoto útoku jsou nedávno oznámení e-mailoví červi Outlook. Další podrobnosti najdete v databázi Chyba zabezpečení Bugtraq.

Dalším způsobem, jak se bránit proti útokům s aktivním obsahem, je pozměnit skriptování dříve, než jej poštovní program uvidí. To se provádí na poštovním serveru v době, kdy je zpráva přijata a uložena v poštovní schránce uživatele, a ve své nejjednodušší podobě spočívá v pouhé změně všech značek <SCRIPT> na (například) značky <DEFANGED-SCRIPT>, což způsobí poštovní program, aby je ignoroval. Vzhledem k tomu, že existuje mnoho míst, kde lze skriptovací příkazy použít v rámci jiných značek, je proces defenzování v praxi složitější.


Útoky při přetečení vyrovnávací paměti

Vyrovnávací paměť je oblast paměti, kde byl zaveden program dočasně ukládá data, která zpracovává. Pokud má tato oblast předdefinovanou pevnou velikost a pokud program nepodnikne kroky k zajištění, aby se data do této velikosti vešla, došlo k chybě: pokud je načteno více dat, než se vejde do vyrovnávací paměti, přebytečná data budou stále zapsána., ale prodlouží se za konec vyrovnávací paměti, pravděpodobně nahradí jiná data nebo instrukce programu.

Přetečení zásobníku útok je pokusem využít této slabosti zasláním nečekaně dlouhý řetězec dat pro program do procesu. Například v případě e-mailového programu může útočník odeslat podvrženou hlavičku Date: o délce několika tisíc znaků za předpokladu, že e-mailový program očekává pouze hlavičku Date :, která je maximálně sto znaků dlouhá a t zkontrolovat délku dat, která ukládá.

Tyto útoky lze použít jako útoky typu Odmítnutí služby, protože když dojde k náhodnému přepsání paměti programu, program obecně spadne. Pečlivým vytvořením přesného obsahu toho, co přeteče vyrovnávací paměť, je však v některých případech možné dodat programové instrukce pro počítač oběti, který se má provést bez souhlasu oběti. Útočník posílá oběti e-mailem program, který bude spuštěn na počítači oběti, aniž by žádal o svolení oběti.

Všimněte si, že toto je výsledek chyby v napadeném programu. Správně napsaný e-mailový klient se nebude dovolit náhodné cizinci spouštět programy v počítači bez vašeho souhlasu. Programy podléhající přetečení vyrovnávací paměti jsou nesprávně zapsány a musí být opraveny, aby se problém trvale odstranil.

K přetečení vyrovnávací paměti v poštovních programech dochází při zpracování záhlaví zpráv a záhlaví příloh, což jsou informace, které e-mailový klient potřebuje zpracovat, aby se dozvěděl podrobnosti o zprávě a co s ní dělat. Text v těle zprávy, který se jednoduše zobrazí na obrazovce a u kterého se očekává velké množství textu, se nepoužívá jako prostředek pro útoky s přetečením vyrovnávací paměti.

Nedávno oznámené chyby přetečení v aplikacích Outlook, Outlook Express a Netscape Mail jsou toho příkladem. Opravy pro aplikaci Outlook jsou k dispozici na webu zabezpečení společnosti Microsoft.

Záhlaví zpráv a záhlaví příloh může poštovní server předběžně zpracovat, aby omezil jejich délku na bezpečné hodnoty. Tím zabráníte jejich použití k útoku na e-mailového klienta.

Variantou útoku přetečením vyrovnávací paměti je vynechání informací tam, kde program očekává, že nějaké najdou. Microsoft Exchange například reaguje špatně, když je požádán o zpracování záhlaví MIME příloh, které jsou explicitně prázdné – například filename="" . Tento útok lze použít pouze k odmítnutí služby.


Útoky trojského koně

Trojský kůň je škodlivý program, který se maskuje jako něco benigní ve snaze získat neopatrného uživatele, aby jej spustit.

Tyto útoky se obvykle používají k prolomení zabezpečení tím, že přinutí důvěryhodného uživatele spustit program, který uděluje přístup nedůvěryhodnému uživateli (například instalací  softwaru zadních vrátek pro vzdálený přístup), nebo způsobí poškození, jako je pokus o vymazání všech soubory na pevném disku oběti. Trojské koně mohou ukrást informace nebo zdroje nebo implementovat distribuovaný útok, například distribucí programu, který se pokouší ukrást hesla nebo jiné bezpečnostní informace, nebo může jít o „samomnožící“ program, který se rozesílá poštou („červ“) a také bombarduje cíl nebo maže soubory (červ s postojem :).

Červ „Miluji tě“ je vynikajícím příkladem útoku trojského koně: zdánlivě neškodný milostný dopis byl ve skutečnosti samopropagační program.

Aby tento útok uspěl, oběť musí podniknout kroky ke spuštění programu, který obdržela. Útočník může pomocí různých metod „sociálního inženýrství“ přesvědčit oběť, aby program spustila; například, program může být maskovaný jako milostný dopis nebo seznam vtipů, s názvem souboru speciálně vytvořeným tak, aby využil sklonu Windows skrývat důležité informace před uživatelem.

Většina lidí ví, že   přípona .txt se používá k označení toho, že obsah souboru je pouze prostý text, na rozdíl od programu, ale výchozí konfigurace systému Windows je skrýt přípony souborů před uživatelem, takže v adresáři se seznamem souboru s názvem  textfile .txt  se zobrazí pouze jako „ textový soubor “ (aby nedošlo ke zmatení uživatele?).

Útočník může využít této kombinace věcí odesláním přílohy s názvem „ útok.txt.exe “ – systém Windows  příponu .exe užitečně skryje  , takže příloha bude vypadat jako neškodný textový soubor s názvem „ útok.txt “ namísto program. Pokud však uživatel zapomene, že systém Windows skrývá skutečnou příponu souboru, a poklepá na přílohu, systém Windows použije celý název souboru k rozhodnutí, co má dělat, a protože  .exe  označuje spustitelný program, systém Windows přílohu spustí. Blam! Jste ve vlastnictví.

Typické kombinace zdánlivě neškodných a nebezpečně spustitelných rozšíření jsou:

  • xxx.TXT.VBS  – spustitelný skript (skript jazyka Visual Basic) maskující se jako textový soubor
  • xxx.JPG.SCR  – spustitelný program (spořič obrazovky) maskující se jako obrázkový soubor
  • xxx.MPG.DLL  – spustitelný program (dynamická knihovna) vydávající se za film

Tomuto útoku se lze vyhnout jednoduše tím, že nebudete spouštět programy přijaté e-mailem, dokud nebudou zkontrolovány, i když se program zdá být neškodný a zejména pokud pochází od někoho, koho dobře neznáte a nedůvěřujete mu.

Dvojité kliknutí na přílohy e-mailu je nebezpečný zvyk.

Až donedávna stačilo pro jistotu říci „neklikejte dvakrát na přílohy“. Bohužel už tomu tak není.

Chyby v e-mailovém klientovi nebo špatný návrh programu mohou umožnit, aby útočná zpráva automaticky provedla přílohu trojského koně bez jakéhokoli zásahu uživatele, a to buď pomocí aktivního HTML, skriptování nebo přetečení vyrovnávací paměti, které jsou součástí stejné zprávy jako příloha trojského koně nebo kombinace těchto. Toto je extrémně nebezpečný scénář a v současné době je „ve volné přírodě“ jako samostatně se šířící e-mailový červ, který nevyžaduje žádný zásah uživatele, aby došlo k infekci. Můžete si být jisti, že to nebude jediné.

Ve snaze tomu zabránit lze názvy příloh spustitelných souborů změnit tak, aby je operační systém již nepovažoval za spustitelné (například změnou „EXPLOIT.EXE“ na „EXPLOIT.DEFANGED-EXE“) . To donutí uživatele uložit a přejmenovat soubor před jeho spuštěním (dá mu možnost přemýšlet o tom, zda by se měl spustit, a jeho antivirovému softwaru možnost prozkoumat přílohu, než se spustí) a sníží možnost, že jiné exploity ve stejné zprávě budou schopny automaticky najít a spustit program trojského koně (protože název byl změněn).

Navíc u známých programů trojských koní může být formát přílohy samotný pozměněn tak, že e-mailový klient již přílohu nevidí jako přílohu. To donutí uživatele, aby kontaktoval technickou podporu, aby načetl přílohu, a poskytnete správci systému možnost ji prozkoumat.

Demanglování poškozené přílohy je pro správce poměrně jednoduché. Při mandlování přílohy se původní   záhlaví přílohy MIME posune dolů a vloží se záhlaví přílohy s varováním před útokem. Nejsou smazány žádné informace.

Zde je seznam nedávných spustitelných souborů a dokumentů trojského koně, shromážděných z varování diskusních skupin bugtraq a Usenet a doporučení dodavatelů antivirových programů:

Anti_TeRRoRisM.exe
Ants[0-9]+set.exe
Binladen_bra[sz]il.exe
Common.exe
Disk.exe
IBMls.exe
MWld.exe
MWrld.exe
MissWorld.exe
Rede.exe
Si.exe
UserConf.exe
WTC.exe
amateurs.exe
anal.exe
anna.exe
anniv.doc
anti_cih.exe
antivirus.exe
aol4free.com
asian.exe
atchim.exe
avp_updates.exe
babylonia.exe
badass.exe
black.exe
blancheneige.exe
blonde.exe
boys.exe
buhh.exe
celebrity?rape.exe
cheerleader.exe
chocolate.exe
compu_ma.exe
creative.exe
cum.exe
cumshot.exe
doggy.exe
dwarf4you.exe
emanuel.exe
enanito?fisgon.exe
enano.exe
enano?porno.exe
famous.exe
fist-f?cking.exe
gay.exe
girls.exe
happy99.exe
happy[0-9]+.exe
hardcore.exe
horny.exe
hot.exe
hottest.exe
i-watch-u.exe
ie0199.exe
images_zipped.exe
jesus.exe
joke.exe
kinky.exe
leather.exe
lesbians.exe
list.doc
lovers.exe
matcher.exe
messy.exe
misworld.exe
mkcompat.exe
nakedwife.exe
navidad.exe
oains.exe
oral.exe
orgy.exe
path.xls
photos17.exe
picture.exe
pleasure.exe
pretty park.exe
pretty?park.exe
prettypark.exe
qi_test.exe
raquel?darian.exe
readme.exe
romeo.exe
sado.exe
sample.exe
seicho_no_ie.exe
serialz.hlp
setup.exe
sex.exe
sexy.exe
slut.exe
sm.exe
sodomized.exe
sslpatch.exe
story.doc
suck.exe
suppl.doc
surprise!.exe
suzete.exe
teens.exe
virgins.exe
x-mas.exe
xena.exe
xuxa.exe
y2kcount.exe
yahoo.exe
zipped_files.exe

Samozřejmě, že autoři červů jsou nyní moudří a pojmenovávají přílohy náhodně, což vede k závěru, že všechny soubory .EXE by měly být blokovány.

Dalším kanálem pro útoky trojského koně je datový soubor pro program, který poskytuje makro (programovací) jazyk, například moderní vysoce výkonné textové procesory, tabulky a uživatelské databázové nástroje.

Pokud nemůžete jednoduše zahodit přílohy, které by vás mohly ohrozit, doporučuje se nainstalovat antivirový software (který detekuje a deaktivuje trojské koně v makrojazyku) a vždy otevírat přílohy datových souborů v programu „nespouštět se automaticky makra“ (například podržením klávesy  [SHIFT]  při poklepání na přílohu).

Také: pokud vám váš systémový administrátor (nebo někdo, kdo tvrdí, že je vaším správcem systému) pošle e-mail s programem a požádá vás, abyste jej spustili, okamžitě začněte být velmi podezřívaví a ověřte původ e-mailu tak, že budete kontaktovat přímo svého správce jiným způsobem než e-mailem. Pokud obdržíte přílohu, která tvrdí, že jde o aktualizaci operačního systému nebo antivirový nástroj, nespouštějte ji. Prodejci operačního systému nikdy nedoručují aktualizace prostřednictvím e-mailu a antivirové nástroje jsou snadno dostupné na webových stránkách výrobců antivirových programů.


Shell Script útoky

Mnoho programů běžících pod Unixem a podobnými operačními systémy podporuje možnost vkládat krátké skripty shellu (sekvence příkazů podobné dávkovým souborům pod DOSem) do svých konfiguračních souborů. Toto je běžný způsob, jak umožnit flexibilní rozšíření jejich schopností.

Některé programy pro zpracování pošty nesprávně rozšiřují tuto podporu pro vložené příkazy prostředí na zprávy, které zpracovávají. Obecně je tato schopnost zahrnuta omylem voláním skriptu shellu převzatého z konfiguračního souboru pro zpracování textu některých záhlaví. Pokud je hlavička speciálně naformátována a obsahuje příkazy shellu, je možné, že budou provedeny i tyto příkazy shellu. Tomu lze zabránit tím, že program prohledá text záhlaví pro speciální formátování a změní toto formátování předtím, než bude předán shellu k dalšímu zpracování.

Vzhledem k tomu, že formátování potřebné k vložení skriptu shellu do hlavičky e-mailu je poměrně speciální, je poměrně snadné jej zjistit a změnit.


Web Bug útoky na soukromí

E-mailová zpráva HTML může odkazovat na obsah, který ve skutečnosti není ve zprávě, stejně jako webová stránka může odkazovat na obsah, který se ve skutečnosti nenachází na webu, který stránku hostí. To lze běžně vidět v bannerových reklamách – web na http://www.geocities.com/ může obsahovat bannerovou reklamu, která je načtena ze serveru na http://ads.example.com/ – když je stránka vykreslena , webový prohlížeč automaticky kontaktuje webový server na  adrese http://ads.example.com/  a načte obrázek bannerové reklamy. Toto načtení souboru je zaznamenáno v protokolech serveru na  http://ads.example.com/, kde je uveden čas, kdy byl načten, a síťová adresa počítače, který obrázek načítá.

Použití tohoto na HTML e-mail zahrnuje umístění odkazu na obrázek do těla e-mailové zprávy. Když poštovní program načte soubor obrázku jako součást zobrazení poštovní zprávy uživateli, webový server zaznamená čas a síťovou adresu požadavku. Pokud má obrázek jedinečný název souboru, je možné přesně určit, která e-mailová zpráva požadavek vygenerovala. Obvykle je obrázek něco, co nebude viditelný pro příjemce zprávy, například obrázek, který se skládá pouze z jednoho průhledného pixelu, odtud termín Web Bug – koneckonců je to zamýšleno jako „skryté sledování“.

K dosažení stejného výsledku je také možné použít značku zvuku na pozadí.

Většinu poštovních klientů nelze nakonfigurovat tak, aby tyto značky ignorovaly, takže jediný způsob, jak zabránit tomuto slídění, je pozměnit referenční značky obrazu a zvuku na poštovním serveru.

$Id: sanitizer-threats.html,v 1.42 2020-10-29 10:21:36-07 jhardin Exp jhardin $
Contents Copyright (C) 1998-2017 by John D. Hardin – All Rights Reserved. 

Leave a Reply

Your email address will not be published. Required fields are marked *