LaunDroMARC: Jak luka w systemie Microsoft SRS umożliwia pranie fałszywych wiadomości e-mail

Blog

Luka w systemie SRS firmy Microsoft może spowodować, że sfałszowane wiadomości e-mail przejdą kontrolę DMARC po przekazaniu dalej. Dowiedz się, jak działa LaunDroMARC, dlaczego jest niebezpieczny i jak go wykryć.

przez Ahona Rudra

Czas odczytu: 5 min
LaunDroMARC: Jak luka w systemie Microsoft SRS umożliwia pranie fałszywych wiadomości e-mail
Spis treści-

Kluczowe wnioski

  • Przekazywanie wiadomości e-mail może nieumyślnie ominąć zabezpieczenia DMARC.
  • System SRS firmy Microsoft może „wyprać” złośliwe wiadomości e-mail, sprawiając, że wyglądają one na wiarygodne.
  • LaunDroMARC ma wpływ zarówno na wiadomości przekazywane wewnętrznie, jak i zewnętrznie.
  • Ciągłe monitorowanie i widoczność mają kluczowe znaczenie dla bezpieczeństwa poczty elektronicznej.
  • PowerDMARC zapewnia narzędzia do wykrywania i ograniczania takich luk w przekazywaniu wiadomości.

Badacz bezpieczeństwa Aaron Hart badał przypadek, który wyglądał na zwykłą próbę przejęcia konta służbowego. Jednak im głębiej się w to zagłębiał, tym bardziej sprawa stawała się dziwna. Wszystko w tym ataku wyglądało na dopracowane i wiarygodne: domena nadawcy, wyniki uwierzytelniania i ścieżka, jaką przeszła wiadomość e-mail.

Jednak stało się coś niemożliwego. E-mail, który nie przeszedł weryfikacji DMARC u nadawcy w magiczny sposób przeszedł test DMARC po przekazaniu przez Microsoft Exchange Online.

To nie powinno być możliwe. Ale było – i działo się tak z powodu efektu ubocznego schematu Sender Rewriting Scheme (SRS) .

Ten blog wyjaśnia tę kwestię prostym językiem, pierwotnie udostępniony przez Engage Security, wyjaśniając, jak działa ta luka i jak organizacje mogą wykrywać i ograniczać ryzyko.

W jaki sposób Microsoft SRS powoduje obejście DMARC 

Podczas dochodzenia Aaron zauważył:

  • Wiadomość e-mail rzekomo pochodziła z zaufanej domeny wewnętrznej (ORG 1).
  • Została dostarczona do skrzynki odbiorczej użytkownika w innej organizacji (ORG 2).
  • ORG 2 uznał wiadomość za całkowicie uwierzytelnioną, tj. zgodną z SPF i DMARC.
  • Jednak oryginalna wiadomość e-mail wysłana do ORG 1 przez atakującego nie przeszedł weryfikacji DMARC.
  • Przekierowanie SRS firmy Microsoft zmieniło adres MAIL FROM podczas przekierowania.
  • Przepisany MAIL FROM zapewnił zgodność, dzięki czemu DMARC przeszedł dalej.

W skrócie: Fałszywa wiadomość e-mail , który powinien zostać odrzucony został przekazany dalej, przepisany i „wyczyszczony”, a następnie dostarczony jako wiadomość zaufana. Spowodowało to rzeczywiste przejęcie konta i nie był to odosobniony przypadek.

Dlaczego to ma znaczenie

Przekazywanie wiadomości e-mail jest niezwykle powszechne w organizacjach:

  • Konsultanci przekazujący wiadomości e-mail od klientów
  • Członkowie zarządu przekazujący adresy firmowe do prywatnych skrzynek pocztowych
  • Współdzielone skrzynki pocztowe lub listy dystrybucyjne przekazujące pocztę na zewnątrz
  • Grupy współpracy międzyorganizacyjnej

Od 2023 r. firma Microsoft włączyła funkcję SRS dla wszystkich dzierżawców Exchange Online, zamierzając naprawić błędy SPF spowodowane przekazywaniem wiadomości e-mail. Niestety, ta poprawka spowodowała nowy problem: przekazywane złośliwe wiadomości e-mail są teraz w pełni uwierzytelniane, nawet jeśli pierwotnie nie przeszły weryfikacji DMARC.

Zjawisko to nazwano obecnie „LaunDroMARC” , ponieważ proces przekazywania dosłownie „wypłukuje” złośliwe wiadomości.

Krótkie przypomnienie: SMTP, SPF, DKIM i DMARC

LaunDroMARC

MAIL FROM vs FROM

  • MAIL FROM (Koperta od): niewidoczna dla użytkowników i używana do obsługi odrzuconych wiadomości.
  • OD: widoczny nadawca w skrzynce odbiorczej.

SPF

Sender Policy Framework weryfikuje, czy serwer wysyłający ma prawo wysyłać wiadomości e-mail dla domeny MAIL FROM. SPF nie weryfikuje widocznego adresu FROM i nie działa w przypadku przekazywania wiadomości (przekazujący nie znajdują się w rekordzie SPF nadawcy).

DKIM

DomainKeys Identified Mail cyfrowo podpisuje nagłówki wiadomości e-mail, w tym nagłówek FROM. Atakujący mogą potencjalnie podpisać DKIM swoje własne złośliwe domeny, co stanowi jedną ze słabości protokołu.

DMARC

Domain-based Message Authentication, Reporting, and Conformance (DMARC) rozwiązuje problemy związane z dopasowaniem, wymagając, aby domena MAIL FROM była zgodna z domeną FROM lub domena podpisująca DKIM była zgodna z domeną FROM, aby przejść proces uwierzytelniania. Jeśli dopasowanie nie powiedzie się, domena polityka DMARC informuje odbiorców, czy należy dostarczyć, poddać kwarantannie, czy odrzucić wiadomość. 

DMARC znacznie ograniczył spoofing do momentu, gdy ta luka ponownie go wprowadziła.

Gdzie nastąpiło załamanie: wdrożenie SRS przez Microsoft

SRS zostało wprowadzone, aby zapobiegać awariom SPF podczas przekazywania. Jednak implementacja Microsoftu ma istotną lukę:

Microsoft przepisuje MAIL FROM nawet wtedy, gdy:

  • Oryginalna wiadomość e-mail podszywa się pod adres nadawcy domeny przekazującej.
  • Sfałszowana wiadomość e-mail nie przechodzi weryfikacji DMARC przy pierwszym przeskoku.
  • Wiadomość pochodzi z domeny kontrolowanej przez atakującego.

Po przepisaniu przy użyciu SRS, MAIL FROM jest teraz zgodny z domeną FROM, co sprawia, że DMARC przechodzi w miejscu docelowym.

Wynik: złośliwa wiadomość e-mail, która normalnie powinna zostać odrzucona przez DMARC, zostaje przekazana dalej, przepisana przez SRS i idealnie dopasowana do rekordów uwierzytelniających domeny przekazującej. W rezultacie jest ona dostarczana do odbiorcy jako w pełni legalna wiadomość. Krótko mówiąc, spoofing poprzez przekazywanie wiadomości e-mail staje się ponownie możliwy, co niweczy ochronę, jaką miało zapewnić DMARC.

Obecnie firma Microsoft nie traktuje tego jako luki w zabezpieczeniach.

Przykładowy scenariusz

Wyobraź sobie, że osoba atakująca kontroluje domenę maliciousmailer.com, z rekordami SPF skonfigurowanymi tak, aby zezwalały na wysyłanie wiadomości z adresu IP 198.51.100.25. Tworzy ona wiadomość e-mail przeznaczoną dla konsultantki Sarah, której służbowy adres e-mail to [email protected], ale jest ona automatycznie przekazywana do jej prywatnej skrzynki pocztowej pod adresem [email protected].

Atakujący ustawia nagłówki wiadomości e-mail w następujący sposób:

Po wysłaniu wiadomość przechodzi weryfikację SPF, ponieważ domena MAIL FROM jest kontrolowana przez atakującego. Gdy wiadomość e-mail dotrze do company.com, Exchange Online przetwarza ją za pomocą SRS: ignoruje błąd DMARC dotyczący sfałszowanego pola FROM, przepisuje pole MAIL FROM, aby dopasować je do domeny przekazującej (np. sarah+SRS=…@company.com), a następnie przekazuje ją do osobistej skrzynki pocztowej Sarah.

W serwisie personalmail.com protokół DMARC jest teraz akceptowany, ponieważ przepisany adres MAIL FROM i widoczny adres FROM są ze sobą zgodne. Wiadomość e-mail trafia do skrzynki odbiorczej Sarah jako wygląda na autentyczną, skutecznie omijając zabezpieczenia, które powinny ją zatrzymać.

Krótko mówiąc, sfałszowana wiadomość, która powinna zostać zablokowana, jest teraz uznawana za wiarygodną przez odbiorcę, co pokazuje, jak SRS może nieumyślnie „wyprać” złośliwe wiadomości e-mail.

Dlaczego LaunDroMARC stanowi zagrożenie dla organizacji 

Ta luka jest niebezpieczna, ponieważ użytkownicy naturalnie ufają wiadomościom e-mail, które wydają się pochodzić z ich własnej organizacji lub znanej domeny wewnętrznej. Kiedy złośliwe wiadomości e-mail są przekazywane dalej, omijają one pierwotne kontrole bezpieczeństwa i docierają do odbiorcy jako czyste i legalne. 

Atakujący wykorzystują przewidywalne reguły przekazywania wiadomości, aby wykorzystać tę lukę, podczas gdy zespoły ds. bezpieczeństwa często koncentrują się na zagrożeniach przychodzących, a nie na przekazywanych wiadomościach. W rezultacie ta luka otwiera drzwi do poważnych zagrożeń, w tym kradzieży poufnych danych, zbierania danych uwierzytelniających, wewnętrznego spear-phishingu, a nawet ataków polegających na podszywaniu się pod dostawców w łańcuchu dostaw.

Co Microsoft mógłby naprawić

Istnieje kilka prostych środków zaradczych, które firma Microsoft mogłaby wdrożyć:

  1. Nie należy przepisywać MAIL FROM za pośrednictwem SRS, jeśli nagłówek FROM należy do domeny przekazującej, ale nie spełnia wymogów DMARC przy pierwszym przeskoku.
  2. Stosuj SRS tylko do wiadomości, które przeszły weryfikację DMARC od nadawcy.
  3. Porównaj nagłówki Authentication-Results przed i po przekazaniu.
     Jeśli nie są one zgodne, poddaj wiadomość kwarantannie.

Jak organizacje mogą wykrywać LaunDroMARC

Ominięcie protokołu DMARC przez Microsoft SRS 

1. Domena przekazywania (Exchange Online)

Możesz wykryć potencjalne nadużycia, szukając wiadomości e-mail, w których domena MAIL FROM jest zewnętrzna, ale nagłówek FROM wydaje się należeć do Twojej organizacji. Wiadomości te często wykazują wzorzec przechodzenia SPF przy jednoczesnym niepowodzeniu DMARC: jest to sygnał ostrzegawczy w kontekście przepisywania SRS. Gdy te same wiadomości są później przekazywane dalej, staje się to wyraźnym wskaźnikiem, że reguły przekazywania są wykorzystywane do przekazywania sfałszowanych lub złośliwych treści.

2. Domena ostatecznego odbiorcy

Jeśli wiadomość e-mail wykazuje zgodność między widocznym adresem nadawcy (FROM) a przepisanym adresem MAIL FROM, ale oryginalna domena MAIL FROM ukryta w wartości SRS nie pasuje do żadnego z nich, jest to wyraźna wskazówka, że wiadomość została „wyprana” poprzez przekazanie dalej i może być fałszywą lub złośliwą wiadomością e-mail.

Perspektywa PowerDMARC

Jako platforma poświęcona wzmacnianiu globalnej autoryzacji poczty elektronicznej, kwestie takie jak LaunDroMARC podkreślają, dlaczego monitorowanie i widoczność są równie ważne jak egzekwowanie. Nawet jeśli standardy takie jak DMARC są wdrażane prawidłowo, luki we wdrożeniu u dostawców skrzynek pocztowych mogą powodować powstanie luk w zabezpieczeniach, nad którymi nie masz kontroli.

PowerDMARC pomaga organizacjom:

  • Analizuj wyniki uwierzytelniania we wszystkich przeskokach
  • Wykrywanie anomalii wyrównania i zachowań związanych z przekazywaniem
  • Otrzymuj powiadomienia w czasie rzeczywistym o próbach spoofingu
  • Zrozum, w jaki sposób systemy zewnętrzne obsługują przekazywane wiadomości e-mail.
  • Monitoruj ruch międzydomenowy pod kątem wzorców spoofingu.
  • Zachowaj widoczność ataków wykorzystujących łańcuchy przekazywania

Skorzystaj z bezpłatną wersję próbną lub umów się na prezentację z jednym z naszych wewnętrznych ekspertów, aby już dziś zacząć chronić swoją domenę! 

Przemyślenia końcowe

Problem LaunDroMARC ponownie otwiera wektor ataku, który DMARC miał powstrzymać, umożliwiając ponownie fałszowanie domen wewnętrznych poprzez przekazywanie poczty. Chociaż firma Microsoft obecnie postrzega to jako „niskie ryzyko”, rzeczywiste naruszenia bezpieczeństwa dowodzą czegoś innego. 

Organizacje korzystające z Microsoft 365 muszą być świadome tej luki w przekazywaniu wiadomości i wprowadzić dodatkowe środki wykrywania.

Latest posts by Ahona Rudra (zobacz wszystkie)
Świadomość cyberprzestrzeni w 2026 rokuCyberświadomość wielorybnictwa w 2023 r.powerdmarc-dmarc-leaderPowerDMARC uznany za lidera w dziedzinie oprogramowania DMARC na zimę 2025 r.