Cientistas da computação descobriram uma configuração incorreta chocantemente prevalente em serviços populares de filtragem de spam de e-mail baseados em nuvem empresarial, juntamente com uma exploração para tirar vantagem disso. As descobertas revelam que as organizações estão muito mais abertas às ameaças cibernéticas transmitidas por e-mail do que imaginam.

Em artigo que será apresentado no próximo Conferência ACM Web 2024 em Cingapura, em maio, a equipe de pesquisa acadêmica de autoria observou que serviços amplamente utilizados por fornecedores como Proofpoint, Barracuda, Mimecast e outros poderiam ser ignorados em pelo menos 80% dos principais domínios examinados.

Os serviços de filtragem podem ser “ignorados se o provedor de hospedagem de e-mail não estiver configurado para aceitar apenas mensagens que chegam do serviço de filtragem de e-mail”, explica Sumanth Rao, estudante de doutorado na Universidade da Califórnia em San Diego e principal autor do artigo. intitulado "Não filtrado: medindo desvios de filtragem de e-mail baseados em nuvem. "

Isso pode parecer óbvio, mas configurar os filtros para funcionarem em conjunto com o sistema de e-mail corporativo é complicado. O ataque de bypass pode acontecer devido a uma incompatibilidade entre o servidor de filtragem e o servidor de e-mail, em termos de correspondência como os servidores de e-mail do Google e da Microsoft reagem a uma mensagem vinda de um endereço IP desconhecido, como aquele que seria usado por spammers.

Os servidores do Google rejeitam tal mensagem durante seu recebimento inicial, enquanto os servidores da Microsoft a rejeitam durante o comando “Dados”, que é quando uma mensagem já foi entregue a um destinatário. Isso afeta como os filtros devem ser configurados.

As apostas são altas, dado que e-mails de phishing continuam sendo o mecanismo de acesso inicial preferido para os cibercriminosos.

“Os administradores de correio que não configuram adequadamente suas correspondências recebidas para mitigar essa fraqueza são semelhantes aos proprietários de bares que implantam um segurança para verificar as identidades na entrada principal, mas também permitem que os clientes entrem por uma porta lateral destrancada e não monitorada”, diz Seth Blank, CTO da Valimail, fornecedora de segurança de e-mail.

Caixas de entrada corporativas totalmente abertas ao phishing

Depois de examinar Estrutura de Política do Remetente (SPF) para 673 domínios .edu e 928 domínios .com que usavam servidores de e-mail do Google ou da Microsoft junto com filtros de spam de terceiros, os pesquisadores descobriram que 88% dos sistemas de e-mail baseados no Google foram ignorados, enquanto 78 % dos sistemas Microsoft eram.

O risco é maior quando se utilizam fornecedores de nuvem, uma vez que um ataque de desvio não é tão fácil quando a filtragem e a entrega de e-mail estão hospedadas em endereços IP conhecidos e confiáveis, observaram.

O documento oferece duas razões principais para essas altas taxas de falha: Primeiro, a documentação para configurar adequadamente os servidores de filtragem e de e-mail é confusa e incompleta, e muitas vezes ignorada ou não é bem compreendida ou facilmente seguida. Em segundo lugar, muitos gerentes de e-mail corporativo erram ao garantir que as mensagens cheguem aos destinatários, por medo de excluir mensagens válidas se instituírem um perfil de filtro muito rigoroso. “Isso leva a configurações permissivas e inseguras”, segundo o artigo.

Não mencionado pelos autores, mas um fator importante, é o fato de que a configuração de todos os três principais protocolos de segurança de e-mail - SPF, Domain-based Message Authentication Reporting and Conformance (DMARC) e DomainKeys Identified Mail (DKIM) — são necessários para serem realmente eficazes na prevenção de spam. Mas isso não é fácil, mesmo para especialistas. Adicione isso ao desafio de garantir que os dois serviços em nuvem para filtragem e entrega de e-mail se comuniquem corretamente e o esforço de coordenação se tornará extremamente complexo. Para começar, os produtos de filtro e servidor de e-mail são frequentemente gerenciados por dois departamentos separados dentro de grandes corporações, introduzindo ainda mais potencial para erros.

“O e-mail, como muitos serviços legados da Internet, foi projetado em torno de um caso de uso simples que agora está fora de sintonia com as demandas modernas”, escreveram os autores.

Atrasos na documentação da configuração de e-mail, gerando lacunas de segurança

A documentação fornecida por cada fornecedor de filtragem varia em qualidade, segundo os pesquisadores. O documento destaca que as instruções nos produtos de filtragem da TrendMicro e Proofpoint são particularmente propensas a erros e podem facilmente produzir configurações vulneráveis. Mesmo os fornecedores que possuem documentação melhor, como Mimecast e Barracuda, ainda produzem altas taxas de configuração incorreta. 

Embora a maioria dos fornecedores não tenha respondido ao pedido de comentários da Dark Reading, Olesia Klevchuk, gerente de marketing de produto da Barracuda, diz: “A configuração adequada e 'verificações de integridade' regulares das ferramentas de segurança são importantes. Fornecemos um guia de verificação de integridade que os clientes podem usar para ajudá-los a identificar esta e outras configurações incorretas.”

Ela acrescenta: “a maioria, senão todos, os fornecedores de filtragem de e-mail oferecerão suporte ou serviços profissionais durante e depois da implantação para ajudar a garantir que sua solução funcione como deveria. As organizações devem aproveitar e/ou investir periodicamente nesses serviços para evitar potenciais riscos de segurança.”

Os administradores de e-mail corporativo têm várias maneiras de fortalecer seus sistemas e evitar que esses ataques de desvio aconteçam. Uma maneira, sugerida pelos autores do artigo, é especificar o endereço IP do servidor de filtragem como a única origem de todo o tráfego de e-mail e garantir que ele não possa ser falsificado por um invasor. 

“As organizações precisam configurar seu servidor de e-mail para aceitar apenas e-mails de seu serviço de filtragem”, escreveram os autores.

A documentação da Microsoft apresenta opções de defesa de e-mail e recomenda definir uma série de parâmetros para habilitar essa proteção para implantação do Exchange Online, por exemplo. Outra é garantir que todos os protocolos SPF, DKIM e DMARC sejam especificados corretamente para todos os domínios e subdomínios usados ​​por uma empresa para tráfego de e-mail. Conforme mencionado, isso pode ser um desafio, especialmente para empresas maiores ou locais que adquiriram numerosos domínios ao longo do tempo e se esqueceram da sua utilização.

Finalmente, outra solução, diz Blank da Valimail, “é a aplicação de filtragem incluir Cadeia de receptores autenticados (RFC 8617) cabeçalhos de e-mail e para que a camada interna consuma e confie nesses cabeçalhos.”

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/cloud-security/cloud-email-filtering-bypass-attack