Não é segredo que a autenticação de correio eletrónico pode ser bastante vulnerável. Isto é especialmente verdade quando as mensagens de correio eletrónico são reencaminhadas com cabeçalhos modificados, linhas de assunto alteradas ou anexos removidos. Estas pequenas alterações podem comprometer a assinatura DKIM.
Vários Secure Email Gateways (SEGs), como o Proofpoint, foram introduzidos para resolver este problema. Esses SEGs podem resolver os problemas de autenticação de e-mails alterados, autenticando-os novamente. Embora este método seja suficientemente bom para atenuar as falhas de autenticação, levanta novos riscos.
Infelizmente, foi detectada uma vulnerabilidade no serviço de retransmissão de correio eletrónico da Proofpoint, em março de 2024. Esta vulnerabilidade permitiu que vários actores maliciosos explorassem uma definição de configuração. Esta falha de encaminhamento de correio eletrónico da Proofpoint falha de encaminhamento de correio eletrónico permitiu que os atacantes enviassem milhões de mensagens falsificadas.
Neste artigo, ficará a saber tudo sobre o EchoSpoofing e a recente exploração de encaminhamento de correio eletrónico da Proofpoint.
Compreender a exploração de encaminhamento de correio eletrónico da Proofpoint
Os agentes maliciosos descobriram uma forma de explorar uma vulnerabilidade no serviço de retransmissão de correio eletrónico da Proofpoint, uma definição de configuração que aceita mensagens de correio eletrónico de qualquer inquilino do Microsoft 365. Depois de receber esses e-mails, o Proofpoint os reautentica adicionando uma assinatura DKIM nova e válida.
A falha nas definições de configuração permite que os criminosos falsifiquem qualquer nome de domínio. Isto permite-lhes enviar mensagens de correio eletrónico que parecem vir de fontes legítimas, numa série de campanhas de phishing denominadas "EchoSpoofing".
O que é EchoSpoofing?
O exploit foi batizado de "EchoSpoofing" pelo Gaurdio Labs. Trata-se de uma técnica através da qual os atacantes enviam mensagens de correio eletrónico a partir de servidores SMTP. Estes servidores SMTP estão alojados em servidores privados virtuais (VPS) e as mensagens enviadas passam facilmente pelas verificações de autenticação de correio eletrónico, incluindo SPF e DKIM. Estes e-mails de EchoSpoofing imitam e-mails legítimos de remetentes de confiança.
O Microsoft 365 permite que os emails sejam enviados a partir de qualquer domínio à escolha do utilizador. Embora notório por permitir que e-mails sejam enviados até mesmo de locatários de aparência suspeita, os hackers na exploração EchoSpoofing utilizaram essa falha para rotear mensagens de locatários do Office 365 controlados por invasores. Os clientes da Proofpoint que autorizaram o Microsoft 365 como um remetente legítimo, inadvertidamente, se colocaram em apuros. Esses locatários do Office 365 controlados por invasores receberam um passe livre para retransmitir os emails do EchoSpoofing por meio do serviço de retransmissão da Proofpoint com uma etiqueta de autenticação e assinaturas DKIM válidas.
A Proofpoint, no seu artigo que explica o ataque, revelou que "A causa raiz é um recurso de configuração de roteamento de e-mail modificável nos servidores Proofpoint para permitir a retransmissão de mensagens de saída das organizações dos locatários do Microsoft 365, mas sem especificar quais locatários do M365 permitir."
Consequências do EchoSpoofing
Se for um utilizador do Microsoft 365 e utilizar o Secure Email Gateway da Proofpoint para bloquear e-mails maliciosos através de um sistema de retransmissão, tem de ter cuidado, uma vez que qualquer outro inquilino do Microsoft 365 pode potencialmente falsificar o seu domínio. Como o Proofpoint não pode filtrar explicitamente locatários específicos do Office 365 e autoriza todos eles, se você definiu a Microsoft como um remetente legítimo - atores mal-intencionados podem facilmente se passar por seu domínio para enviar emails de phishing.
As mensagens de correio eletrónico falsificadas enviadas através deste sistema não são assinaladas como suspeitas, mesmo que passem a verificação verificação DMARCe aterram diretamente na caixa de entrada do destinatário.
A dimensão da exploração
Os ataques tiveram um alcance significativamente alargado.
Empresas visadas
O novo método "Ecospoofing" visava várias marcas bem conhecidas. Estas empresas incluem a Nike, a IBM, a Walt Disney, a Best Buy, entre outras.
Estratégias de resposta e mitigação da Proofpoint
Depois que o problema foi notado, o Proofpoint lançou várias medidas para combater essa vulnerabilidade imediatamente. Estas incluíam permitir que os clientes especificassem agora os inquilinos permitidos do Microsoft 365. A Proofpoint garantiu aos clientes que, embora todos os sistemas de encaminhamento de correio eletrónico sejam vulneráveis até certo ponto, os dados dos clientes não foram expostos ou comprometidos durante os ataques.
Optando por uma segurança de e-mail completa com o PowerDMARC
A plataforma avançada de autenticação de e-mail alimentada por IA do PowerDMARC oferece segurança e visibilidade quando se trata da maioria das explorações e ameaças baseadas em e-mail. A nossa tecnologia de Threat Intelligence é capaz de fazer previsões baseadas em dados sobre padrões e tendências de ameaças, com uma equipa de especialistas a orientá-lo no reforço da sua postura de autenticação de e-mail.
As APIs detalhadas do PowerDMARC permitem que os clientes integrem perfeitamente nossa plataforma com seus sistemas de segurança existentes, incluindo SEGs como o Proofpoint - fornecendo segurança aprimorada!
Além disso, ajudamos os proprietários de domínios a mudar para políticas DMARC aplicadas, como "rejeitar", permitindo-lhes combater eficazmente os ataques de falsificação.
Palavras finais
A exploração EchoSpoofing destaca uma vulnerabilidade significativa no sistema de roteamento de e-mail da Proofpoint, provando que mesmo soluções de segurança confiáveis podem ter pontos cegos.
Os atacantes não são novos na utilização de configurações incorrectas nos sistemas de correio eletrónico para contornar as verificações de autenticação, lançando campanhas de phishing generalizadas. Embora a Proofpoint tenha respondido com medidas corretivas, este incidente sublinha a importância da segurança proactiva do correio eletrónico, apoiada por uma equipa de especialistas.
Para explorar estratégias de proteção para o seu nome de domínio e aplicar corretamente a autenticação do seu correio eletrónico contacte-nos hoje mesmo para falar com um dos nossos profissionais experientes.
- Estudo de caso DMARC MSP: CloudTech24 simplifica o gerenciamento de segurança de domínios para clientes com o PowerDMARC - 24 de outubro de 2024
- Os riscos de segurança do envio de informações confidenciais por correio eletrónico - 23 de outubro de 2024
- 5 tipos de fraudes de e-mail da Segurança Social e como evitá-las - 3 de outubro de 2024