E-posta iletme kusurları, saldırganların yüksek profilli etki alanlarını taklit etmesine olanak tanır
Araştırmacıların ortaya çıkardığı sorunların geniş bir etkisi var ve aralarında state.gov dahil olmak üzere ABD kabine e-posta alanlarının çoğunluğu ve güvenlik kurumları gibi ABD hükümetindeki kuruluşları temsil edenlerin de bulunduğu on binlerce alan adından gönderilen e-postaların bütünlüğünü etkiliyor.
Mastercard gibi önemli finansal hizmet şirketleri ve The Washington Post ve Associated Press gibi büyük haber kuruluşları da savunmasız durumda.
Buna yönlendirme tabanlı kimlik sahtekarlığı adı veriliyor ve araştırmacılar, Gmail ve Outlook gibi e-posta sağlayıcılarının uyguladığı güvenlik önlemlerini atlayarak bu kuruluşların kimliğine bürünen e-posta mesajları gönderebileceklerini buldu.
Alıcılar sahte e-postayı aldıktan sonra, kötü amaçlı yazılım dağıtan ekleri açma veya makinelerine casus yazılım yükleyen bağlantılara tıklama olasılıkları daha yüksektir.
Araştırma ekibi, bu tür bir sahtekarlığın, e-postaların iletilmesine odaklanan çeşitli güvenlik açıkları nedeniyle mümkün olduğunu buldu. Bir e-postanın orijinalliğini kontrol etmek için kullanılan orijinal protokol, her kuruluşun kendi posta altyapısını diğer alanlar tarafından kullanılmayan belirli IP adresleriyle çalıştırdığını dolaylı olarak varsayar.
Ancak günümüzde birçok kuruluş, e-posta altyapılarını Gmail ve Outlook’a yaptırıyor. Sonuç olarak binlerce alan adı, kendi adlarına e-posta gönderme hakkını aynı üçüncü tarafa devretti. Bu üçüncü taraf sağlayıcılar, kullanıcılarının yalnızca işlettikleri alanlar adına e-posta gönderdiğini doğrulasa da, bu koruma, e-posta iletme yoluyla atlanabilir.
Örneğin, Dışişleri Bakanlığı’nın e-posta alanı olan state.gov, Outlook’un onlar adına e-posta göndermesine olanak tanır. Bu, state.gov’dan geldiği iddia edilen e-postaların, Outlook’un e-posta sunucularından gelmesi durumunda meşru kabul edileceği anlamına gelir.
Sonuç olarak, bir saldırgan, örneğin Dışişleri Bakanlığı’ndan geliyormuş gibi davranarak sahte bir e-posta (sahte kimliğe sahip bir e-posta) oluşturabilir ve bunu kişisel Outlook hesabı aracılığıyla iletebilir. Bunu yaptıklarında, sahte e-posta artık alıcı tarafından bir Outlook e-posta sunucusundan geldiği için meşru olarak değerlendirilecektir.
Bu kusurun sürümleri, iCloud dahil diğer beş e-posta sağlayıcısında da mevcuttur. Araştırmacılar ayrıca Hindistan’da popüler bir e-posta sağlayıcısı olan Gmail ve Zohomail kullanıcılarını etkileyen başka küçük sorunlar da keşfettiler.
Araştırmacılar sorunu şu adrese bildirdi: Microsoft ,Apple ve Google ancak onların bildiği kadarıyla bu durum tam olarak düzeltilmedi.
“Bunu yapmak, kırk yıllık eski sistemlerin sökülmesi ve onarılması da dahil olmak üzere büyük bir çaba gerektireceğinden bu şaşırtıcı değil” dedi. Alex Liu, doktora derecesi UC San Diego’daki Jacobs Okulu Bilgisayar Bilimi ve Mühendisliği Bölümü öğrencisi.
Liu şöyle devam etti: “Burada tanımladığımız saldırılara maruz kalma oranını önemli ölçüde azaltacak bazı kısa vadeli hafifletmeler olsa da, gelecekte kimlik sahtekarlığı saldırılarına etkili bir şekilde direnmek için e-postanın sonuçta daha sağlam bir güvenlik temeli üzerinde durması gerekiyor.” diye devam etti Liu.
Farklı saldırılar
Araştırmacılar yönlendirmeyi kullanarak dört farklı saldırı türü geliştirdiler.
İlk üçünde, bir saldırganın hem e-posta gönderen hem de ileten hesapları kontrol ettiğini varsaydılar. Saldırganın ayrıca sahte e-posta mesajları gönderebilecek bir sunucuya ve açık iletime izin veren bir üçüncü taraf sağlayıcıda bir hesaba sahip olması gerekir.
Saldırgan, yönlendirme için kişisel bir hesap oluşturarak başlar ve ardından sahte adresi, hesapların beyaz listesine (güvenlik standartlarını karşılamasalar bile engellenmeyecek alan adlarının yer aldığı liste) ekler. Saldırgan, hesabını tüm e-postaları istenen hedefe iletecek şekilde yapılandırır. Saldırgan daha sonra state.gov’dan geliyormuş gibi görünecek şekilde sahte bir e-posta oluşturur ve e-postayı kişisel Outlook hesabına gönderir. Daha sonra saldırganın tek yapması gereken sahte e-postayı hedefine iletmektir.
Alexa 100K’nın en popüler e-posta alanlarının (İnternetteki en popüler alan adları) %12’sinden fazlası bu saldırıya karşı savunmasızdır. Bunlar arasında Washington Post, Los Angeles Times ve Associated Press gibi çok sayıda haber kuruluşunun yanı sıra GoDaddy gibi alan adı kayıt şirketleri, Mastercard ve Docusign gibi finansal hizmetler ve büyük hukuk firmaları yer alıyor.
Ayrıca, ABD kabine kurumlarının çoğunluğu, bir dizi güvenlik kurumu ve CDC gibi kamu sağlığı alanında çalışan kurumlar da dahil olmak üzere .gov alan adlarının %32’si savunmasızdır. Eyalet ve yerel düzeyde, neredeyse tüm birincil eyalet hükümeti etki alanları savunmasızdır ve tüm .gov alan adlarının %40’ından fazlası şehirler tarafından kullanılmaktadır.
Bu saldırının ikinci versiyonunda, saldırgan, sahte e-posta iletilerini Gmail’e iletmek için kişisel bir Outlook hesabı oluşturur. Bu senaryoda, saldırgan Outlook tarafından da sunulan bir alan adının kimliğini alır ve sahte mesajı kendi kötü amaçlı sunucusundan kişisel Outlook hesabına gönderir ve bu da onu bir dizi Gmail hesabına iletir.
Araştırmacılar ayrıca bu saldırının dört popüler posta listesi hizmetinde işe yarayan varyasyonlarını da buldu: Google grupları, mailman, listserv ve Gaggle.
Potansiyel çözümler
Araştırmacılar tüm güvenlik açıklarını ve saldırıları sağlayıcılara açıkladı. Zoho sorunu düzeltti ve takıma bir hata ödülü verdi. Microsoft ayrıca bir hata ödülü verdi ve güvenlik açıklarını doğruladı. Posta listesi hizmeti Gaggle, sorunu çözmek için protokolleri değiştireceğini söyledi. Gmail ayrıca ekibin bildirdiği ve iCloud’un araştırdığı sorunları da düzeltti.
Ancak sorunun asıl kökenine inmek için araştırmacılar, kullanıcıların hesaplarını, hedef adres tarafından herhangi bir doğrulama olmaksızın, belirlenen herhangi bir e-posta adresine iletecek şekilde yapılandırmalarına olanak tanıyan bir süreç olan açık yönlendirmenin devre dışı bırakılmasını öneriyor. Bu işlem Gmail ve Outlook için geçerlidir. Buna ek olarak, Gmail ve Outlook gibi sağlayıcılar, bu e-postalar tarafından iletilen mesajları ne olursa olsun ileten yüksek profilli e-posta hizmetlerine dolaylı olarak güveniyor.
Sağlayıcılar ayrıca, başka bir büyük sağlayıcıdan gelen e-postaların meşru olduğu varsayımını da ortadan kaldırmalıdır; bu, esnek doğrulama politikaları olarak adlandırılan bir süreçtir.
Ayrıca araştırmacılar, posta listelerinin e-postayı teslim etmeden önce gerçek gönderen adresinden onay istemesini önermektedir.
Araştırmacılar, “Daha temel bir yaklaşım, iletmenin çeşitli yönlerini standartlaştırmak olacaktır” diye yazıyor. “Ancak bu tür değişikliklerin yapılması sistem çapında işbirliği gerektirecek ve muhtemelen birçok operasyonel sorunla karşılaşacaktır.”
E-posta yönlendirme yöntemleri
Araştırmacılar, her hizmet için birden fazla test hesabı oluşturdu ve bunları, kontrol ettikleri alıcı hesaplarına e-posta iletmek için kullandı. Daha sonra hizmetin hangi iletim protokolünü kullandığını daha iyi anlamak için ortaya çıkan e-posta başlıklarını analiz ettiler. Saldırılarını, en popüler internet alan adlarının ve devlet alan adlarının %46’sı tarafından kullanılan 14 e-posta sağlayıcısında test ettiler.
Ayrıca UC San Diego tarafından sağlanan mevcut hizmetler ve posta listesi hizmeti Gaggle aracılığıyla posta listeleri de oluşturdular.
Araştırmacılar yalnızca kendi oluşturdukları hesaplara sahte e-posta mesajları gönderiyordu. Her saldırıyı ilk olarak kendi oluşturup kontrol ettikleri alanları taklit ederek test ettiler. Saldırıların işe yaradığını doğruladıktan sonra, gerçek alanlardan gelen e-postaları taklit eden küçük bir dizi deney gerçekleştirdiler. Yine de sahte e-postalar yalnızca araştırmacıların oluşturduğu test hesaplarına gönderiliyordu.
Araştırmacılar, “Temel sorunlardan biri, e-posta güvenlik protokollerinin dağıtılmış, isteğe bağlı ve bağımsız olarak yapılandırılmış bileşenler olmasıdır” diye yazıyor. Bu, herhangi bir tarafın kolayca öngöremeyeceği veya yönetemeyeceği birçok olası etkileşimi içeren geniş ve karmaşık bir saldırı yüzeyi oluşturur. “
