Qu'est-ce que l'EchoSpoofing ? Comprendre les exploits de routage d'emails

Blog, Cybersécurité

L'exploitation récente d'une faille dans le routage des courriels, connue sous le nom d'EchoSpoofing, a permis aux attaquants d'envoyer des millions de courriels usurpés à travers plusieurs organisations.

par Ahona Rudra

Dernière mise à jour :
4 Temps de lecture : 4 min
Qu'est-ce que l'EchoSpoofing ? Comprendre les exploits de routage d'emails
Table des matières-

Ce n'est pas un secret que l'authentification par courrier électronique peut être assez vulnérable. C'est particulièrement vrai lorsque les courriels sont transmis avec des en-têtes modifiés, des lignes d'objet changées ou des pièces jointes supprimées. Ces changements mineurs peuvent compromettre la signature DKIM.

Diverses passerelles de messagerie sécurisée (SEG) ont été introduites pour résoudre ce problème. Ces SEG peuvent résoudre les problèmes d'authentification des courriels modifiés en les réauthentifiant. Bien que cette méthode soit suffisamment efficace pour atténuer les échecs d'authentification, elle soulève de nouveaux risques.

Malheureusement, une vulnérabilité a été détectée dans le service de relais de messagerie de Proofpoint, en mars 2024. Elle a permis à divers acteurs malveillants d'exploiter un paramètre de configuration. Cette faille dans le routage des courriels a permis aux attaquants d'envoyer des millions de messages usurpés.

Dans cet article, vous apprendrez tout sur l'EchoSpoofing et le récent exploit de routage d'emails. 

Points clés à retenir

  1. Les vulnérabilités liées à l'authentification du courrier électronique peuvent être aggravées par des défauts de configuration dans les services de relais de courrier électronique.
  2. La technique EchoSpoofing permet aux attaquants d'exploiter des services de messagerie électronique de confiance pour envoyer des courriels usurpés.
  3. Un récent problème de configuration des systèmes de relais de courrier électronique a permis à des acteurs malveillants d'usurper l'identité de domaines légitimes sans filtre approprié.
  4. Même si des mesures de sécurité sont en place, les entreprises doivent rester vigilantes face à l'évolution des menaces liées au courrier électronique.
  5. La mise en œuvre de politiques DMARC strictes peut contribuer à prévenir l'usurpation d'identité d'un domaine et à renforcer la sécurité du courrier électronique.

Comprendre l'exploit de routage des courriels

Des acteurs malveillants ont trouvé un moyen d'exploiter une vulnérabilité dans les services de relais de messagerie, un paramètre de configuration qui accepte les courriels de n'importe quel locataire de Microsoft 365. Après avoir reçu ces courriels, ils sont réauthentifiés par l'ajout d'une nouvelle signature DKIM valide.

La faille dans les paramètres de configuration permet aux auteurs d'usurper n'importe quel nom de domaine. Ils peuvent ainsi envoyer des courriels semblant provenir de sources légitimes, dans le cadre d'une série de campagnes d'hameçonnage appelées "EchoSpoofing".

 

Protégez-vous contre l'usurpation d'identité avec PowerDMARC !

15 jours d'essaiRéservez une démo

Qu'est-ce que l'EchoSpoofing ?

L'exploit a été baptisé "EchoSpoofing" par Gaurdio Labs. Il s'agit d'une technique par laquelle les attaquants envoient des courriels à partir de serveurs SMTP. Ces serveurs SMTP sont hébergés sur des serveurs privés virtuels (VPS), et les messages envoyés passent facilement les contrôles d'authentification des courriels, notamment les contrôles SPF et DKIM. Ces courriels d'EchoSpoofing imitent des courriels légitimes provenant d'expéditeurs de confiance.

Microsoft 365 permet d'envoyer des courriels à partir de n'importe quel domaine choisi par l'utilisateur. Bien qu'il soit connu pour permettre l'envoi de courriels à partir de locataires même suspects, les pirates de l'exploit EchoSpoofing ont utilisé cette faille pour acheminer des messages à partir de locataires Office 365 contrôlés par des attaquants. Par exemple, les clients de Proofpoint qui autorisent Microsoft 365 en tant qu'expéditeur légitime se sont retrouvés en difficulté par inadvertance. Ces locataires d'Office 365 contrôlés par les attaquants ont reçu un laissez-passer pour relayer les courriels EchoSpoofing via leur service de relais avec une étiquette d'authentification et des signatures DKIM valides. 

Conséquences de l'écho-spoofing

Si vous êtes un utilisateur de Microsoft 365 et que vous utilisez des passerelles de messagerie sécurisée pour bloquer les courriels malveillants via un système de relais, vous devez faire preuve de prudence car tout autre locataire de Microsoft 365 peut potentiellement usurper votre domaine. Comme la plupart de ces SEG ne peuvent pas explicitement filtrer des locataires Office 365 spécifiques et les autorisent tous, si vous avez défini Microsoft comme un expéditeur légitime, des acteurs malveillants peuvent facilement usurper l'identité de votre domaine pour envoyer des courriels de phishing

Les courriers électroniques usurpés envoyés par l'intermédiaire de ce système ne sont pas signalés comme suspects, même s'ils passent le contrôle contrôle DMARCet atterrissent directement dans la boîte de réception de votre destinataire.

L'ampleur de l'exploitation

Les attaques ont eu une portée considérable.

Entreprises ciblées

La nouvelle méthode "Ecospoofing" a ciblé plusieurs marques connues. Il s'agit notamment de Nike, IBM, Walt Disney et Best Buy. 

Stratégies de réponse et d'atténuation

Après que le problème a été remarqué, diverses mesures visant à contrer cette vulnérabilité ont été rapidement publiées. Elles permettent notamment aux clients de spécifier les locataires Microsoft 365 autorisés. Les clients ont également été rassurés sur le fait que, bien que chaque système d'acheminement du courrier électronique soit vulnérable dans une certaine mesure, les données des clients n'ont pas été exposées ou compromises au cours des attaques. 

Opter pour une sécurité du courrier électronique complète avec PowerDMARC

La plateforme d'authentification par courriel de PowerDMARC, alimentée par l'IA, offre à la fois sécurité et visibilité en ce qui concerne la plupart des exploits et des menaces par courriel. Notre technologie de renseignement sur les menaces est capable de faire des prédictions basées sur des données sur les modèles et les tendances des menaces, avec une équipe d'experts qui vous guide dans le renforcement de votre posture d'authentification par courrier électronique. 

Les API détaillées de PowerDMARC permettent aux clients d'intégrer de manière transparente notre plateforme à leurs systèmes de sécurité existants, ce qui renforce la sécurité ! 

En outre, nous aidons les propriétaires de domaines à passer à des politiques DMARC appliquées telles que le "rejet", ce qui leur permet de lutter efficacement contre les attaques par usurpation d'identité. 

En conclusion

L'exploit EchoSpoofing met en évidence une vulnérabilité importante dans les systèmes de routage du courrier électronique, prouvant que même les solutions de sécurité fiables peuvent avoir des angles morts. 

Les attaquants n'en sont pas à leur premier coup d'essai : ils utilisent des configurations erronées dans les systèmes de messagerie pour contourner les contrôles d'authentification et lancer de vastes campagnes d'hameçonnage. Bien que des mesures correctives aient été prises, cet incident souligne l'importance d'une sécurité proactive du courrier électronique assurée par une équipe d'experts. 

Pour explorer les stratégies de protection de votre nom de domaine et mettre en œuvre correctement l'authentification de votre email - contactez-nous dès aujourd'hui pour parler à l'un de nos professionnels chevronnés.

Derniers messages de Ahona Rudra (voir tous)
Dernière mise à jour :
Les 5 meilleurs conseils en matière de cybersécurité pour les marques de commerce électroniqueconseils en matière de cybersécuritéÉquipe rouge-VS-Équipe bleueÉquipe rouge VS Équipe bleue