Qu'est-ce que l'EchoSpoofing ? Exploit de routage d'emails de Proofpoint
Ce n'est pas un secret que l'authentification par courrier électronique peut être assez vulnérable. C'est particulièrement vrai lorsque les courriels sont transmis avec des en-têtes modifiés, des lignes d'objet changées ou des pièces jointes supprimées. Ces changements mineurs peuvent compromettre la signature DKIM.
Diverses passerelles de messagerie sécurisée (SEG), telles que Proofpoint, ont été introduites pour résoudre ce problème. Ces SEG peuvent résoudre les problèmes d'authentification des courriels modifiés en les réauthentifiant. Bien que cette méthode soit suffisamment efficace pour atténuer les échecs d'authentification, elle soulève de nouveaux risques.
Malheureusement, une vulnérabilité a été détectée dans le service de relais de messagerie de Proofpoint, en mars 2024. Elle a permis à divers acteurs malveillants d'exploiter un paramètre de configuration. Cette faille de routage faille de routage des courriels de Proofpoint a permis aux attaquants d'envoyer des millions de messages usurpés.
Dans cet article, vous apprendrez tout sur l'EchoSpoofing et le récent exploit de routage d'emails de Proofpoint.
Comprendre l'exploit de routage d'e-mails de Proofpoint
Des acteurs malveillants ont trouvé le moyen d'exploiter une vulnérabilité dans le service de relais de messagerie de Proofpoint, un paramètre de configuration qui accepte les courriels de n'importe quel locataire de Microsoft 365. Après avoir reçu ces courriels, Proofpoint les réauthentifie en ajoutant une nouvelle signature DKIM valide.
La faille dans les paramètres de configuration permet aux auteurs d'usurper n'importe quel nom de domaine. Ils peuvent ainsi envoyer des courriels semblant provenir de sources légitimes, dans le cadre d'une série de campagnes d'hameçonnage appelées "EchoSpoofing".
Qu'est-ce que l'EchoSpoofing ?
L'exploit a été baptisé "EchoSpoofing" par Gaurdio Labs. Il s'agit d'une technique par laquelle les attaquants envoient des courriels à partir de serveurs SMTP. Ces serveurs SMTP sont hébergés sur des serveurs privés virtuels (VPS), et les messages envoyés passent facilement les contrôles d'authentification des courriels, notamment les contrôles SPF et DKIM. Ces courriels d'EchoSpoofing imitent des courriels légitimes provenant d'expéditeurs de confiance.
Microsoft 365 permet d'envoyer des courriels à partir de n'importe quel domaine choisi par l'utilisateur. Bien qu'il soit connu pour permettre l'envoi de courriels à partir de locataires même suspects, les pirates de l'exploit EchoSpoofing ont utilisé cette faille pour acheminer des messages à partir de locataires Office 365 contrôlés par les attaquants. Les clients de Proofpoint qui autorisent Microsoft 365 en tant qu'expéditeur légitime se sont retrouvés en difficulté par inadvertance. Ces locataires Office 365 contrôlés par les attaquants ont reçu un laissez-passer pour relayer les courriels EchoSpoofing via le service de relais de Proofpoint avec une étiquette d'authentification et des signatures DKIM valides.
Proofpoint, dans son article expliquant l'attaque, a révélé que "La cause première est une fonction de configuration de routage des courriels modifiable sur les serveurs de Proofpoint pour permettre le relais des messages sortants des organisations à partir des locataires Microsoft 365, mais sans spécifier quels locataires M365 autoriser."
Conséquences de l'écho-spoofing
Si vous êtes un utilisateur de Microsoft 365 et que vous utilisez Secure Email Gateway de Proofpoint pour bloquer les courriels malveillants via un système de relais, vous devez faire preuve de prudence car tout autre locataire de Microsoft 365 peut potentiellement usurper votre domaine. Comme Proofpoint ne peut pas explicitement filtrer des locataires Office 365 spécifiques et les autorise tous, si vous avez défini Microsoft comme un expéditeur légitime - des acteurs malveillants peuvent facilement usurper l'identité de votre domaine pour envoyer des courriels de phishing.
Les courriers électroniques usurpés envoyés par l'intermédiaire de ce système ne sont pas signalés comme suspects, même s'ils passent le contrôle contrôle DMARCet atterrissent directement dans la boîte de réception de votre destinataire.
L'ampleur de l'exploitation
Les attaques ont eu une portée considérable.
Entreprises ciblées
La nouvelle méthode "Ecospoofing" a ciblé plusieurs marques connues. Il s'agit notamment de Nike, IBM, Walt Disney et Best Buy.
Stratégies de réponse et d'atténuation de Proofpoint
Après que le problème a été remarqué, Proofpoint a publié diverses mesures pour contrer rapidement cette vulnérabilité. Parmi celles-ci, les clients peuvent désormais spécifier les locataires Microsoft 365 autorisés. Proofpoint a rassuré ses clients sur le fait que, bien que chaque système d'acheminement du courrier électronique soit vulnérable dans une certaine mesure, les données des clients n'ont pas été exposées ou compromises au cours des attaques.
Opter pour une sécurité du courrier électronique complète avec PowerDMARC
La plateforme d'authentification par courriel de PowerDMARC, alimentée par l'IA, offre à la fois sécurité et visibilité en ce qui concerne la plupart des exploits et des menaces par courriel. Notre technologie de renseignement sur les menaces est capable de faire des prédictions basées sur des données sur les modèles et les tendances des menaces, avec une équipe d'experts qui vous guide dans le renforcement de votre posture d'authentification par courrier électronique.
Les API détaillées de PowerDMARC permettent aux clients d'intégrer de manière transparente notre plateforme à leurs systèmes de sécurité existants, y compris les SEG comme Proofpoint, ce qui renforce la sécurité !
En outre, nous aidons les propriétaires de domaines à passer à des politiques DMARC appliquées telles que le "rejet", ce qui leur permet de lutter efficacement contre les attaques par usurpation d'identité.
Le mot de la fin
L'exploit EchoSpoofing met en évidence une vulnérabilité importante dans le système d'acheminement du courrier électronique de Proofpoint, ce qui prouve que même les solutions de sécurité fiables peuvent avoir des angles morts.
Les attaquants n'en sont pas à leur premier coup d'essai en matière de mauvaise configuration des systèmes de messagerie pour contourner les contrôles d'authentification et lancer des campagnes de phishing à grande échelle. Bien que Proofpoint ait pris des mesures correctives, cet incident souligne l'importance d'une sécurité proactive du courrier électronique assurée par une équipe d'experts.
Pour explorer les stratégies de protection de votre nom de domaine et mettre en œuvre correctement l'authentification de votre email - contactez-nous dès aujourd'hui pour parler à l'un de nos professionnels chevronnés.
- 5 types d'escroqueries à la sécurité sociale par courriel et comment les prévenir - 3 octobre 2024
- PowerDMARC obtient le titre de 2024 G2 Fall Leader Badge dans le domaine des logiciels DMARC - 27 septembre 2024
- 8 conseils de sécurité en matière de marketing par courriel pour les entreprises en ligne - 25 septembre 2024