Более 30 популярных почтовых клиентов уязвимы к атакам MailSploit

Исследователь безопасности Сабри Хаддуш (Sabri Haddouche) обнаружил серию уязвимостей, получивших общее название MailSploit, которые позволяют рассылать вредоносные электронные письма в обход механизмов защиты от спуфинга. Уязвимости затрагивают 33 популярных почтовых клиента, в том числе Apple Mail (macOS, iOS и watchOS), Mozilla Thunderbird, несколько почтовых клиентов от Microsoft, Yahoo Mail, ProtonMail и пр.

Несмотря на реализацию в большинстве почтовых клиентов механизмов защиты от спуфинга, таких как DKIM и DMARC, MailSploit позволяет обойти данную защиту путем эксплуатации механизма анализа поля отправителя, используемого почтовыми клиентами и web-интерфейсами.

Для демонстрации атаки исследователь создал полезную нагрузку, закодировав неотображаемые символы в заголовке электронной почты, успешно отправив поддельное письмо якобы с официального адреса президента Соединенных Штатов Америки.

"Используя комбинации управляющих символов, таких как новые строки или нулевые байты, можно добиться сокрытия или удаления части домена исходного письма", - пояснил эксперт.

Помимо спуфинга, исследователь также обнаружил, что некоторые из почтовых клиентов, включая Hushmail, Open Mailbox, Spark и Airmail уязвимы к XSS-атакам.

Хаддуш уведомил разработчиков всех 33 почтовых клиентов, 8 из них уже исправили данные проблемы в своих продуктах, а еще 12 находятся в процессе работы над патчами. С полным списком уязвимых почтовых клиентов можно ознакомиться здесь .

Видео с демонстрацией уязвимости

DomainKeys Identified Mail (DKIM) — метод аутентификации, разработанный для обнаружения поддельных сообщений, пересылаемых по электронной почте.

Domain-based Message Authentication, Reporting and Conformance (DMARC) - техническая спецификация, предназначенная для снижения количества спамовых и фишинговых электронных писем, основанная на идентификации почтовых доменов отправителя на основании правил и признаков, заданных на почтовом сервере получателя.