Wat is EchoSpoofing? Proofpoint Email Routing Exploit
Het is geen geheim dat e-mailverificatie behoorlijk kwetsbaar kan zijn. Dit is vooral het geval wanneer e-mails worden doorgestuurd met gewijzigde headers, gewijzigde onderwerpregels of verwijderde bijlagen. Deze kleine wijzigingen kunnen de DKIM handtekening.
Verschillende Secure Email Gateways (SEG's), zoals Proofpoint, zijn geïntroduceerd om dit probleem aan te pakken. Deze SEG's kunnen de authenticatieproblemen van gewijzigde e-mails aanpakken door ze opnieuw te authenticeren. Hoewel deze methode goed genoeg is om authenticatiefouten te beperken, brengt het nieuwe risico's met zich mee.
Helaas is er in maart 2024 een kwetsbaarheid ontdekt in de e-mailrelaydienst van Proofpoint. Hierdoor konden verschillende kwaadwillenden misbruik maken van een configuratie-instelling. Dit proofpoint fout in e-mailroutering stelde aanvallers in staat om miljoenen gespoofde berichten te versturen.
In dit artikel leer je alles over EchoSpoofing en Proofpoint's recente e-mail routing exploit.
Inzicht in Proofpoints Email Routing Exploit
Kwaadwillenden hebben een manier gevonden om misbruik te maken van een kwetsbaarheid in de e-mail relay service van Proofpoint, een configuratie-instelling die e-mails accepteert van elke Microsoft 365-tenant. Nadat Proofpoint deze e-mails heeft ontvangen, worden ze opnieuw geauthenticeerd door een nieuwe en geldige DKIM-handtekening toe te voegen.
Door de fout in de configuratie-instellingen kunnen de daders elke domeinnaam namaken. Hierdoor kunnen ze e-mails versturen die afkomstig lijken te zijn van legitieme bronnen, in een reeks phishingcampagnes die "EchoSpoofing" wordt genoemd.
Wat is EchoSpoofing?
De exploit is door Gaurdio Labs "EchoSpoofing" genoemd. Het is een techniek waarbij aanvallers e-mails versturen vanaf SMTP-servers. Deze SMTP-servers worden gehost op Virtual Private Servers (VPS) en de verzonden berichten passeren gemakkelijk e-mailverificatiecontroles, waaronder SPF en DKIM. Deze EchoSpoofing e-mails imiteren legitieme e-mails van vertrouwde afzenders.
Met Microsoft 365 kunnen e-mails worden verzonden vanaf een domein naar keuze van de gebruiker. De hackers in de EchoSpoofing-exploit maakten gebruik van deze fout om berichten te routeren van Office 365-gebruikers die onder controle stonden van de aanvaller. Proofpoint-klanten die Microsoft 365 als legitieme afzender autoriseerden, kwamen onbedoeld in de problemen. Deze door aanvallers gecontroleerde Office 365-huurders kregen een vrijbrief om de EchoSpoofing-e-mails door te sturen via de relay-service van Proofpoint met een label van authenticatie en geldige DKIM-handtekeningen.
Proofpoint onthulde in hun artikel met uitleg over de aanval dat "De hoofdoorzaak is een aanpasbare e-mailroutingconfiguratiefunctie op Proofpoint-servers om relay van uitgaande berichten van organisaties van Microsoft 365-tenants toe te staan, maar zonder te specificeren welke M365-tenants moeten worden toegestaan."
Gevolgen van EchoSpoofing
Als u een Microsoft 365-gebruiker bent en de Secure Email Gateway van Proofpoint gebruikt om schadelijke e-mails te blokkeren via een relay-systeem, moet u voorzichtig zijn omdat andere Microsoft 365-gebruikers mogelijk uw domein kunnen spoofen. Omdat Proofpoint specifieke Office 365-gebruikers niet expliciet kan uitfilteren en ze allemaal toestaat, als u Microsoft als een legitieme afzender hebt gedefinieerd, kunnen kwaadwillenden zich gemakkelijk voordoen als uw domein om phishing-e-mails te verzenden.
De gespoofde e-mails die via dit systeem worden verzonden, worden vervolgens niet als verdacht gemarkeerd, en komen zelfs door de DMARC-controleen belanden rechtstreeks in de inbox van je ontvanger.
De omvang van de uitbuiting
De aanvallen hadden een aanzienlijk wijdverspreid bereik.
Gerichte bedrijven
De nieuwe "Ecospoofing"-methode was gericht op verschillende bekende merken. Deze bedrijven zijn onder andere Nike, IBM, Walt Disney en Best Buy.
Proofpoints respons en strategieën voor risicobeperking
Nadat het probleem was opgemerkt, bracht Proofpoint verschillende maatregelen uit om deze kwetsbaarheid snel te verhelpen. Deze omvatten onder andere de mogelijkheid voor klanten om nu toegestane Microsoft 365 tenants te specificeren. Proofpoint verzekerde klanten dat hoewel elk e-mailroutingsysteem tot op zekere hoogte kwetsbaar is - klantgegevens tijdens de aanvallen niet zijn blootgesteld of gecompromitteerd.
Kiezen voor uitgebreide e-mailbeveiliging met PowerDMARC
PowerDMARC's geavanceerde AI-aangedreven e-mailverificatieplatform biedt zowel beveiliging als zichtbaarheid als het gaat om de meeste e-mailgebaseerde exploits en bedreigingen. Onze Threat Intelligence-technologie is bedreven in het maken van datagestuurde voorspellingen over bedreigingspatronen en trends, waarbij een team van experts u begeleidt bij het aanscherpen van uw e-mailverificatie.
Met de gedetailleerde API's van PowerDMARC kunnen klanten ons platform naadloos integreren met hun bestaande beveiligingssystemen, waaronder SEG's zoals Proofpoint - voor een betere beveiliging!
Bovendien helpen we domeineigenaren om over te stappen op afgedwongen DMARC-beleidsregels zoals "afwijzen", zodat ze spoofing-aanvallen effectief kunnen bestrijden.
Laatste woorden
De EchoSpoofing-exploit benadrukt een belangrijke kwetsbaarheid in het e-mailrouteringssysteem van Proofpoint en bewijst dat zelfs vertrouwde beveiligingsoplossingen blinde vlekken kunnen hebben.
Het is niet nieuw dat aanvallers gebruik maken van verkeerde configuraties in e-mailsystemen om verificatiecontroles te omzeilen en wijdverspreide phishingcampagnes te lanceren. Hoewel Proofpoint heeft gereageerd met corrigerende maatregelen, onderstreept dit incident het belang van proactieve e-mailbeveiliging door een team van experts.
Om beschermingsstrategieën voor uw domeinnaam te verkennen en uw e-mailverificatie correct af te dwingen - contact met ons op vandaag nog contact op met een van onze ervaren professionals.
- 5 soorten zwendelpraktijken met e-mails van de sociale zekerheid en hoe ze te voorkomen - 3 oktober 2024
- PowerDMARC behaalt de 2024 G2 Fall Leader Badge in DMARC Software - 27 september 2024
- 8 Tips voor veilige e-mailmarketing voor online bedrijven - 25 september 2024