Translated by Mikko Heikkinen (ITKST56 course assignment at JYU.FI)

[Musiikkia]

OK. Seuraavaksi puhuu Timo Longin,

joka tunnetaan myös nimellä Timo Login.

Hän tietoturvakonsultti ja tutkija. Hän tulee puhumaan uudesta tekniikasta

nimeltään SMTP Smuggling,

jolla voidaan väärentää sähköposteja

ja hyväksikäyttää eräitä eniten käytettyjä palveluita internetissä.

Kiitos. Annetaan Timolle applodit.

[Applodeja]

Kiitos esittelystä.

Ensinnäkin, pulskat pahoittelut omasta ja SEC Consult:n puolesta

tämän katastrofaalisen haavoittuvuuden julkaisemisesta.

Erityisesti pahoittelut Wietselle ja Viktorille Postfixin korjaamisesta.

sekä kaikille järjestelmävalvojille ympäri maailman,

jotka ovat joutuneet asentamaan korjauksia joululoman aikana.

Ja lisäksi, joka tapauksessa,

suuret kiitokset Wietselle ja Viktorille

heidän sitoutumisestaan.

Ja lisäksi suuret kiitokset yhteisölle

tämän ongelman viemisestä julkaisujärjestelmiin ja niin edelleen.

Ja kaikille... Okei...

[Applodeja]

Ja kaikille niille,

joilla ei ole mitään hajua tästä.

Joten minäpä autan teidät samalle sivulle.

Noin vuosi sitten olin juuri

lopettanut tutkimukseni DNS:n parissa.

ja etsin uutta tutkimuskohdetta,

kun löysin todennäköisesti helpoimman

tavan hakkeroida yrityksen

ja kaikki tämä vain yhdellä

yksinkertaisella Google-haulla.

[Yleisön naurua]

Ja tämä saattaa kuulostaa tyhmälle,

mutta tämä johdatti minut suuntaan,

jonka jo tiesin, mutta en ollut ymmärtänyt.

Ja se on, että tietojen kalastelu on edelleen

numero 1 ensipääsyvektori yritykseen

ja sitten minulla välähti:

Miksen tutkisi SMTP:tä,

simple mail transfer protocol:aa

jota käytetään miljardien sähköpostien

lähettämiseen joka päivä ympäri maailman

kuten on tehty viimeisen 40 vuoden ajan.

Joten matkani eteni DNS:stä SMTP:hen

ja tänään esittelen uuden

SMTP Smuggling -tekniikan

sähköpostien väärentämiseksi.

Kuka olenkaan? OIen Timo Longin

ja työskentelen tietoturvakonsulttina

SEC Consult -yhtiössä ja

päivisin teen penetraatiotestausta

ja öisin teen haavoittuvuustutkimusta.

Ja viimeisen kolmen vuoden aikana olen

tutkinut paljon DNS-haavoittuvuuksia.

Ja olen julkaissut paljon blogikirjoituksia ja työkaluja.

Ja minun täytyi siirtyä eteenpäin.

Edellisen kerran, kun joku SEC Consult:sta puhui CCC:ssä...

se oli... dildoista.

[Yleisön naurua]

Ja tiedän, että joudun tuottamaan osalle

teistä pettymyksen,

mutta tämä esitys ei kerro

ihmiseen penetroitumisesta.

Esitys kertoo tunkeutumisesta SMTP-protokollan muurien läpi.

Joten nähdäksemme miten tämä toimii

on meidän ensin ymmärrettävä

miten sähköpostien lähetys yleensäkin toimii.

Joten tässä meillä on melko yksinkertainen sähköposti-infrastuktuuri.

Meillä on sähköpostikäyttäjäagentti,

kuten Thunderbird, ja Thunderbird haluaa lähettää sähköpostin

esimerkiksi käyttäjänä user@outlook.com.

Joten jos haluamme lähettää sähköpostin tällä tavalla

meidän täytyy ensin tunnistautua

Outlook mail transfer agentille tai

ulospäin menevälle SMTP palvelimelle.

Ja kun olemme tunnistautuneet,

voimme lähettää sähköpostin käyttäjänä user@outlook.com.

Ja vain käyttäjänä user@outlook.com.

Tämän jälkeen viesti siirretään vastaanottajan

SMTP-palvelimelle ja tämä palvelin

tarkistaa viestin aitouden.

Ja kaikkein yleisen tapa tehdä tämä on SPF.

Vastaanottava SMTP-palvelin saa SPF-tietueen

DNS-palvelun kautta outlook.com osoitteelle.

Ja tarkistaa sen jälkeen, että tämä IP-osoite

ja IP-alue on sallittu lähettää sähköpostiviestejä

outlook.com osoitteelle.

Tässä tapauksessa todellinen Outlook SMTP-palvelin

tai ulospäin lähtevä SMTP-palvelin lähetti viestin,

vastaanottava SMTP-palvelin

hyväksyy viestin.

Ja nyt luonnollisesti tässä on erittäin

mielenkiintoinen kysymys.

Ja kysymys on: onko hyökkääjän mahdollista

lähettää sähköpostiviesti

esimerkiksi osoitteesta admin@outlook.com tai

väärennetystä sähköpostiosoitteesta?

Tätä me selvitämme tänään

ja se on enemmän tai vähemmän

tämän tutkimuksen tavoitteista.

En tiedä oletteko huomanneet,

mutta näiden palvelimien värit

muistuttavat minusta Paavo Pesusieneä

ja Patrik Tähtöstä.

Ja sen vuoksi kutsumme niitä niiksi.

Tutkimuksen yleinen tavoite ja

tutkimuksen peruste oli löytää

tapa väärentää sähköposteja.

Ja ajattelin, että miksi en ottaisi haavoittuvuuksia

muista tekstipohjaisista protokollista,

kuten HTTP:stä, ja soveltaisi niitä SMTP:hen.

Ja oli yksi HTTP haavoittuvuus, joka sopi kuvaan

ja se oli HTTP-pyynnön käpelöinti.

Tässä meillä on taas Paavo ja Patrik,

mutta tällä kertaa HTTP-maailmassa.

Joten, mitä tässä tapahtuu? Paavo Pesusieni saa 
POST-tyyppisen pyynnön internetin yli

Mielenkiintoista tässä pyynnössä on se, 
että siinä on kaksi otsikkoa

kuinka käsitellä POST-pyynnön data.

Siinä on Content-Length -otsikko, jonka arvona 
on 43 tavua.

Ja siinä on myös Transfer-Encoding -otsikko.

Nyt Paavo Pesusienen täytyy päättää,
miten käsittelen pyynnön ja Paavo päättää

käyttää Content-Length otsikkoa, koska se on
43 tavua.

Joten kaikki punaisella kehystetty data
on välitetty Patrikille.

Patrikilla ei ole mitään hajua mitä tehdä - pitäisikö
minun tulkita Content-Lenth otsikkoa vai

Transfer-Encoding -otsikko? Patrik päättää
tulkita Transfer-Encoding otsikkoa ja

nyt meillä on eriävät tulkinnat:

Paavo Pesusieni käyttää Content-Length -otsikkoa
ja Patrik Tähtönen käyttää Transfer-Encoding -otsikkoa.

Ja koska Transfer-Encoding on määritetty "chunked" ("paloiteltu") ja
ja ensimmäinen pala on 0,

on loput Paavo Pesusienen lähettämästä datasta 
tulkittu toiseksi pyynnöksi.

Itse asiassa tämä tarkoittaa, että Paavo näkee
yhden pyynnön ja Patrik kaksi pyyntöä.

Ja toinen pyyntö voidaan kohdistaa mielivaltaiseen
resurssipolkuun, kuten "Admin",

joka tässä esimerkissä on avoin vain sisäisesti
palvelimella.

Joka on tietenkin ongelma.

Joten ajattelin, että miksi en ottaisi
näitä tulkintaeroja

ja laittaisi niitä SMTP:hen.

Ymmärtääksemme... tai ainakin päästäksemme
lähemmäs ymmärrystä miten tämä toimii,

täytyy meidän katsoa ensin itse SMTP
protokollaa.

Joten, SMTP näyttää kuta kuinkin tältä.

Meillä on kaksi komponenttia: SMTP komennot
punaisella ja sinisellä viestin data.

Lähettääksemme viestin, meidän tulee ensin
lähettää SMTP komennot:

Meidän pitää esitellä itsemme, kertoa lähettäjän
osoite, yksi tai useampi vastaanottajan osoite ja

sitten lähetämme "data" komennon 
kertoaksemme vastaanottavalle SMTP-palvelimelle

että olemme nyt vastaanottamassa varsinaista
viestin dataa.

Ja sitten lähetämme viestin datan: määrittelemme
lähettäjän osoitteen uudelleen, vastaanottajan osoitteen
ja viestin aiheen.

Ja sitten tulee viestin leipäteksti.

Ja kun jossain vaiheessa haluamme
lopettaa viestin datan lähettämisen,

meidän tulee lähettää jotain, jota kutsumme
datan lopetussekvensiksi.

Se on "&lt;paluu rivin alkuun&gt;&lt;rivinvaihto&gt; piste &lt;paluu rivin alkuun&gt;&lt;rivinvaihto&gt;" 
[kääntäjän kommentti: jatkossa .]

Tässä vaiheessa ajattelin, että ehkä voisimme
hämätä tällä jotenkin SMTP-palvelinten toteutuksia.

Ajatus oli siis, että meillä on jälleen Paavo Pesusieni
ja lähetämme sähköpostin Paavo Pesusienelle [SIC].

Ja tämä sähköposti sisältää jotain
todella outoa, jotain joka näyttää

lopetussekvensille, mutta se ei ole sitä.

Koska se ei ole yhdenmukainen RFC:n kanssa, joku 
voisi virheellisesti tulkita sen datan lopetussekvensiksi.

Joten Paavo Pesusieni katsoo tätä ja ajattelee
ettei tämä ole RFC:stä, en tulkitse tätä
"end-of-data" sekvensiksi

Ja seuraavaksi... tai viestin data siihen saakka,
kunnes varsinainen datan lopetussekvenssi tulee.

Sitten Paavo Pesusieni lähettää viestin Patrikille

Ja Patrik on "Jeah, en välitä mistään RFC:stä ja
ja tulkitsen väärän datan lopetussekvenssi

varsinaiseksi datan lopetusmerkiksi."

Ja ongelmaksi tässä tulee, että kaikki väärin 
tulkitun lopetussekvenssin tulkitaan SMTP-komennoiksi

Ja nyt hyökkääjänä voimme luoda SMTP-komentoja,
jotka lähettävät toisen sähköpostiviestin.

Vaikka Paavo Pesusieni näki yhden ison
sähköpostiviestin, Patrik näkee kaksi pienempää viestiä.

Ja ongelma on se, että toinen viesti voi sisältää
mielivaltaisia SMTP-komentoja.

Kuten, että viesti tulee osoitteesta admin@outlook.com
tai mitä tahansa.

Näin ainakin teoriassa.

Nähdäkseni toimiiko tämä todella.

Tutkin muutamia SMTP-palvelinten 
toteutuksia yksinkertaisesti

ottamalla niihin yhteyttä telnet:llä tai
netcat:lla.

Kun tein tämän, se näytti aluksi RFC:n mukaiselta.

Kun lähetät datakomennon, palvelin pyytää
lopettamaan datan lähettämisen . merkeillä.

Sitten löysin myös palvelimia, jotka sanoivat:
"lähetä minulla rivi, jossa on vain piste"

Ja tämä asia riippuu paljon käytettävästä 
käyttöjärjestelmästä.

Windows:ssa tämä voi olla &lt;CR&gt;&lt;LF&gt;.&lt;CR&gt;&lt;LF&gt;
ja Linuxissa se voi olla .

Siinä kohtaa ajattelin, että tässä voisi
olla jotain.

Ja kokeilin jotain.

Ensimmäiseksi kokeilin työntää &lt;CR&gt;-, &lt;LF&gt;- ja piste-
merkkejä Paavo Pesusienen kautta.

Joten kirjoitin SMTP analyysisovelluksen, joka
lähettää sähköposteja, joissa on virheellisiä data lopetussekvenssejä,

kuten &lt;LF&gt;.&lt;LF&gt; Ja lähetin viestejä eri SMTP-
ohjelmistoilla,

sisältäen sähköpostipalveluita Gmail, Outlook, GMX

ja lisäksi sähköpostiohjelmistoja kuten Postfix,
Exim, Microsoft Exchange Server ja niin edelleen.

Vastaanottavalla puolella tutkin, että mitkä
vääristä sekvensseistä menee itse asiassa läpi.

Voinko lähettää komennon &lt;LF&gt;.&lt;LF&gt; lähtevän palvelimen 
kautta?

Ja useimmissa tapauksissa se ei toiminut.

&lt;LF&gt;.&lt;LF&gt; on usein suodatettu tai poistettu
alkuperäisestä viestistä.

Mutta jossain tapauksissa se menee läpi muuttumattomana.

Tämä oli tilanne GMX:n kohdalla. Lähetin sähköpostin
GMX:stä analyysipalvelimelleni

ja &lt;LF&gt;.&lt;CR&gt;&lt;LF&gt; merkkejä ei poistettu.

Seuraavaksi tein proof-of-concept:n, jossa on
ensin viesti

ja sitten väärennetty datan lopetussekvenssi

ja sen jälkeen SMTP komentoja ja data 
toiselle sähköpostiviestille.

Jos tämä proof-of-concept toimii,

meidän pitäisi saada kaksi viestiä 
vastaanottajan puolella.

Lähetin tämän kaiken Gmailiin.

Ja Gmail oli sitä mieltä, 
että "tämä ei ei ole datan lopetussekvenssi".

Ja sen näkee siitä, että datan lopetussekvenssin
jälkeen kaikki on edelleen tulkittu viestin dataksi.

Mutta joissain tapauksissä tämä itse asiassa toimi.

Tämä oli ensimmäinen onnistunut 
SMTP Smuggling tapaus, GMX:stä Fastmail:iin.

Me näemme, että se toimii. Meillä on ensin 
viesti käyttäjältä user@gmx.net

ja toinen viesti käyttäjältä admin@gmx.net,

jotka läpäisevät SPF ja DMARC tarkistukset,
koska ne tulevat todelliselta GMX:n palvelimelta.

[Applodeja]

Minä olin, että "tämä on aivan sairasta!"

Ajattelin, että meillä on tämä toinen viesti 
ja siinä voi olla mitä tahansa.

Kuten lähettäjän osoite voi olla mitä vaan.

Joten miksi en kokeilisi muita domaineja,
jotka osoittavat GMX:n palvelimeen?

Sitten analysoin SPF tietueen ja tajusin...

Tässä on GMX:n SPF-tietue, mutta se on hyvin
samankaltainen web.de:n tietueen, joka puolestaan

on hyvin samankaltainen Ionoksen tietueen kanssa.

Ja jeah, tilanne on nyt se, että tällä me voimme
väärentää 1.35 miljoonaa domainia.

Jos ette tiedä mikä Ionos on, niin se on superiso 
hosting- ja sähköpostipalveluiden tarjoaja.

Ja heillä on nämä 1.35 miljoonaa domainia
kytketty tähän.

Joten, minun täytyi tietenkin kokeilla tätä.

Tässä on sähköposti osoitteesta admin@web.de

Nyt kysymys on tietysti, että toimiiko
tämä kaikkialla?

Kuten sanoin, niin tämä palvelimilla,
jotka tulkitsevat lopetussekvenssit

tavalla, joka ei ole RFC:n mukainen,
kuten .

Voimme siis väärentää 1.35 miljoonaa domainia.

Joten pohjimmiltaan meillä on 1.4 miljoonaa Postifix instansia
ja 150 tuhatta Sendmail instanssia.

Ja tämä toimii, koska ne tulkitsevat...

[puhuja sekoilee sanoissaan]

Ne tulkitsevat &lt;LF&gt;.&lt;CR&gt;&lt;LF&gt;, sekoilen itsekin sanoissani,
lopetussekvensiksi.

Ja olin, että OK, tämä on aika vakavaa.

Mutta tässä on muutakin.

Katsoin outlook.comia myös ja Outlook
palautti todella oudon virheilmoituksen

koska siinä on, että pelkät rivinvaihdot
eivät ole sallittuja.

Olin siinä kohtaa, että pahus, ne tietää
mitä olen tekemässä.

[Yleisöän naurua]

Siksi analysoin sen tarkemmin, ette pysty
minua tuolla pelottelemaan.

Joten löysin, että &lt;LF&gt;.&lt;CR&gt;&lt;LF&gt; 
on mahdollinen täällä.

[Yleisön applodeja]

Jeah, pidetään vähän hauskaa.

Tässä kohtaa en ollut varma, että
olenko tulossa hulluksi

vai toimiiko tämä todella.

Joten tarvitsin jonkinlaisen tarkistuksen.

Ja niinpä lähetin sähköpostin
osoitteesta admin@outlook.com

yhdelle kollegoistani. Idea oli siinä,
että jos he reagoivat tähän,

se toimii, muutoin olen tullut hulluksi.

Joten....

[Yleisön naurua]

Ja ehkä nyt hieman kansainvälisempi esimerkki,
koska tämä on todella itävaltalainen, luulen.

Luulen, että ymmärrätte tämän, vaikka ette
puhu saksaa.

Ja nyt olette, okei, voimme lähettää
tekstipohjaisia, väärennettyjä sähköposteja

mutta ette pysty huijaamaan tällä ketään

Mutta juttu on siinä, että voimme ujuttaa 
periaatteessa mitä tahansa, HTML mukaan luettuna

Tässä lähetin viestin, kalasteluviestin, 
epätavallisesta kirjautumisesta

osoitteesta no-reply@outlook.com

todelliselta outlook.com palvelimelta itselleni.

Ja se vain meni läpi.

Mutta mitä tämä mahdollistaa?

Pohdiskelin, että voimme väärentää
outlook.comin, mutta mitä muuta voimme tehdä tällä?

Katsoin SPF tietuetta ja se oli outo, 
oudosti tuttu. koska tämä ei ole

pelkästään outlook.comin SPF tietue

vaan miljoonien muiden domainien SPF tietue.

Sen vuoksi, koska tämä Exchange Online
palvelun SPF tietue.

Outlook.com lähettää sähköpostit Exchange Online
infrastruktuurin kautta,

joten voimme itse asiassa väärentää ne kaikki.

Minun piti kokeilla tätä taas.

Tämä toimi ainoastaan teknisesti,
en saanut palkan korotusta.

Mikä vaikutus tällä on?

Voimme väärentää miljoonia domaineja, 
mutta ketkä hyväksyvät nämä sähköpostit?

Jälleen Postfix ja Sendmail, mutta vain ne
instanssit, jotka eivät hyväksy BDAT komentoa.

BDAT on vaihtoehtoinen datakomennolle

ja jos sitä tuetaan, tämä ei toimi.

Se oli ulospäin suuntautuva ujutus,
joka on yksi osa tätä.

Sitten on myös sisäänpäin tuleva
SMTP ujutus.

Ulospäin suuntautuvassa ongelma oli
lähettävä palvelin

koska palvelin epäonnistui tai ei tehokkaasti
suodattanut väärennettyä datan lopetusekvenssiä

kuten &lt;LF&gt;.&lt;CR&gt;&lt;LF&gt; Microsoftinh ja 
GMX palveluissa.

Sitten on lisäksi sisäänpäin tuleva SMTP ujutus.

Tämä tapahtuu, kun on vastaanottava palvelin, 
joka tulkitsee sellaisen villin datan lopetussekvenssin,

josta lähettävällä palvelimella ei ole hajuakaan 
suodattaa pois.

Löysin tällaisen Cisco Securesta, tietysti, Email Cloud Gateway:sta

Mitä he tekevät on, ett'ähe siivoavat viestin ja &lt;CR&gt; merkki
korvataan  merkeillä.

Joten itse asiassa, &lt;CR&gt;.&lt;CR&gt; merkkien tulkinta
palauttaa datan lopetussekvenssin.

[Yleisön applodeja]

Ongelma on nyt siis tietenkin se, että &lt;CR&gt;.&lt;CR&gt; 
ei suodateta ollenkaan pois.

On palveluita, jotka sen tekevät, mutta meillä
on jälleen Exchange Online, iCloud, Sendmail, Postix

ja monia muita, jotka päästävät tämän läpi.

Tavallaan se käy järkeen, koska en hoksaisi 
sitä itsekään.

Joten, minun täytyi kokeilla tätä jälleen.

Valitettavasti, tai teknisesti, se toimi jälleen,

mutta en saanut en saanut yhtään Applen laitetta.

Ei sillä, että olisin halunnut muutenkaan.

Mikä vaikutus tällä on?

Pohjimmiltaan voimme väärentään vielä 
enemmän domaineja kuin edellä.

Meillä on Exchange Online, meillä on iCloud,

meillä on Postfix ja Sendmail.

Ja voimme väärentää yrityksiä, joilla on
vara tähän - aika isoja yrityksiä tässä.

Tämä pitää sisällää yli 40 tuhatta muuta domainia.

Ja se on vain ne, jotka on hostattu pilvessä.

Lisäksi on on-prem instanssit, mutta en pystynyt
käymään niitä läpi.

Ja nyt osuuteen, joka on luultavasti mielenkiintoisin teille,
tai ainakin osalle teistä.

Vastuullinen julkaisu.

Puhtaasti teknisesti, koskien lähettäviä ja 
vastaanottavia palvelimia, kenen vika tämä on?

Meillä on vastaanottavia palvelimia, joiden ei 
koskaan oleteta tulkitsevan mitään muita

datan lopetussekvenssejä kuin &lt;CR&gt;&lt;LF&gt;.&lt;CR&gt;&lt;LF&gt;,
ainkin RFC:n mukaan.

Sitten meillä on lähettäviä palvelimia, joiden 
ei oleteta lähettävän  ja  merkkejä

toisistaan riippumatta.

Joten lopulta tämän on kaikkien vika.

Lähetimme tämän tiedon GMX:lle.

He olivat superkiitollisia ja ilmoittivat
korjaavansa asian saman tien.

10 päivää myöhemmin he korjasivat tämän.

He pyysivät meitä tarkastamaan uudelleen ja 
tarkastimme, että he todella korjasivat sen.

He maksoivat meille pienen palkkion.

Ha laittoivat meidät jopa heidän
Bug Bounty Hall of Fame:en.

Kaiken kaikkiaan se oli 10/10 kokemus.

[Applodeja]

Aion lähettää heille tallenteen teidän applodeista. Kiitos!

Tuntui melkein sille, että meidän olisi pitänyt
maksaa palkkio heille.

Tästä eteenpäin mennäänkin sitten alamäkeä.

Meillä on Microsoft. Microsoft oli sitä mieltä,
että tämä on kohtuullisen riskin haavoittuvuus.

En tiedä, ehkä heillä on suurempi kala kiikarissa,
mutta joka tapauksessa.

Lähetimme tiedot heille ja kolme kuukautta
myöhemmin he sulkivat tapauksen ja sanoivat,

että kaikki on korjattu, ei palkkiota ja niin edelleen.

Tässä kohtaa olin saanut jo mitä halusin.

Ja se on sähköpostin saaminen osoitteesta
admin@microsoft.com

Ja sitten Ciscoon.

Ciscon mielestä tämä ei ollut haavoittuvuus,

vaan dokumentoitu ja konfiguroitava ominaisuus.

Me olimme sitä mieltä, että onpa outo
ominaisuus,

koska voimme väärentää sähköposteja sillä.

Sanoimme, että kertokaa edes asiakkaillenne
tästä ominaisuudesta,

joka ei välttämättä ole paras oletustoiminallisuus.

He sanoivat "Ei".

Me olimme siinä, että meillä on tämä
suuri SMTP Smuggling ongelma.

Ja Cisco ei halua tehdä mitään, Microsoft
oli haavoittuvainen.

Me veimme tämän tapauksen CERT/CC:lle.

Niille, jotka eivät tiedä, CERT/CC koordinoi 
ja käsittelee näitä suuria haavoittuvuuksia,

joilla voi olla maailmanlaajuisia vaikutuksia.

Me lähetimme tiedot heille ja he itse asiassa
hyväksyivät tapauksen.

Sitten olemme tässä Vince portaalissa.

Joka on periaatteessa iso chat-huone, jossa 
14 toimittajaa.

Siellä on Microsoft, SendMail, Cisco, Google

Ja sitten voimme alkaa puhumaan haavoittuvuudesta

Ensimmäisessä keskustelussa Cisco sanoo
edelleen, että kyseessä ei ole haavoittuvuus.

Tiedättehän, se ei ole bugi, vaan ominaisuus.

Noh, joka tapauksessa se ei ole bugi heidän
mielestään.

Ja sitten CERT/CC on sitä mieltä, että
kyseessä ei ole haavoittuvuus, jostain syystä.

Kuinkas yleinen SMTP ujutusongelma?

Entäs Postfixin ja Sendmailin RFC:stä eriävät
tulkinnat datan lopetussekvenssistä?

Ensinnäkin, Sendmail oli tässä Vince portaalissa
alusta alkaen.

He saivat kaikki PoC:t, viestit, kaiken.

Ja he eivät sanoneet mitään.

Entäpä Postfix? He ovat 10 kertaa suurempi.

CERT/CC oli... en tiedä miksi he eivät
lisänneet heitä tapaukseen suoraan.

Mutta CERT/CC lähetti heille sähköpostin, mutta
unohti mainita SMTP ujutuksen.

Luulimme siis, että he kertoivat Postfixille,. Sendmailia
ei nähtävästi kiinnostanut. CERT/CC on Ciscon puolella asiassa.

Me olimme, että Cisco on taatusti haavoittuvainen,
olimme varmistaneet sen.

Joten haluaisimme julkistaa tämän blogissa.

Ja tästä ongelmat vasta alkoivatkin.

Kerroimme, että haluaisimme julkaista tästä
blogikirjoituksen ja varoittaisimme Ciscon asiakkaita

tästä haavoittuvuudesta.

CERT/CC oli sitä mieltä, että "Antaa mennä vaan!
Lähettäkää meille linkki kirjoitukseen, kun se on julkaistu"

Päätimme edetä ja tulimme avanneeksi Pandoran
laatikon, koska nyt 1.6 miljoonaan Postfix ja Sendmail

instanssia ovat haavoittuvina internetissä.

Ja se tarkoittaa, että jos tapahtuu ulospäin suuntautuva
SMTP ujuttelu, niin voit hyväksikäyttää Postfixiä ja Sendmailia yhä.

Tarkoittaako tämä, ettei SEC Consultissa ole yhtään vikaa?

Totta kai SEC Consultissa on vikaa.

Julkaisimme blogikirjoituksen olettaen, että
vaikutus olisi pienempi kuin se todellisuudessa oli

perustuen keskesteluihin CERT/CC:n kanssa ja 
VINCE:ssä muutenkin.

Ja jos olisimme vain tuplavarmistaneet Postfixin
kanssa, että julkaisu ei ole ongelma, tätä ei olisi tapahtunut,

koska he ovat järkkymättämiä, että tämä on ongelma.

Yhteenveto, mitä tämä tarkoittaa?

Korjatkaa Postfix palvelimenne! Löydätte lisätietoja
Postfixin nettisivuilta.

Lisäksi korjatkaa Cisco palvelimenne. Voitte löytää
lisätietoja siitä SEC Consult:n blogista.

[Yleisön naurua ja aplodit]

Lopuksi, tässäkin pilvessä on jonkinlainen hopeareunus.

Nyt Postfix on suoraan mukana VINCE tapauksessa

ja he ovat jo antaneet suuren panoksen.

Emme työnnä päätämme pensaaseen ja yritä
aktiivisesti sulkea Pandoran lipasta jälleen.

Ja mitä se tarkoittaa? Lisää tutkimusta SMTP ujuttelusta

Tarkoitan, että pyysin CERT/CC:tä katsomaan tätä 
tarkemmin, niin, se ei päättynyt kovin hyvin.

Lisää blogikirjoituksia, lisää tutkimusta ja 
ennen kaikkea lisää toimijoita VINCE tapaukseen.

Yritämme saada kaiken korjattua ja olemme pahoillamme,
että tämä tapahtui ylipäätään.

Lopuksi jotain, jonka kaikki tiedätte. Älkää
luottako sähköposteihinn sokeasti, erityisesti tällä hetkellä.

Kiitos.

[Aplodeja]

Hienoa, mennään kysymyksiin.

Ole hyvä.

Hei, minulla on yksi lyhyt kysymys CERT/CC asiasta.

Oliko tämä kommunikoitu sähköpostilla?

Ja etkö olisi voinut lähettää viestin viestin 
Ciscon CDO:na?

Kyllä, olisimme voineet tehdä sen ja luoda 
jonkinlaisen kolmiodraamaan

Bill Gatesin, Elon Muskin ja jonkun muun välille.

Mutta valitettavasti emme nähneet tätä sähköpostia.

Näimme sen jälkeen päin, mutta se oli valitettavasti
liian myöhäistä.

Hei, kiitos teille. Arvostan työtänne.

Voisitko kertoa hieman aikajanasta?

Koska löysitte tämän ensimmäisen kerran?

Aloitin tutkimuksen kesäkuussa kuluvana vuonna

Minulla oli 10 päivän projekti SEC Consultilla.

Olin sitä mieltä, että 10 päivää ei riitä, joten
aloitin 10 päivää aiemmin.

Sitten löysin SMTP ujuttelun kuudentena päivänä

Sitten asia eteni kertomalla GMX:lle, Outlookille
tai Microsoftille ja Ciscolle

koska heillä oli vakavat SMTP ujuttelutapaukset, 
koskien sekä lähtevää ja saapuvaa.

Sitten jatkoimme ja kerroimme CERT/CC:lle, koska
tämä vaikutti olevan laajempi ongelma maailmanlaajuisesti.

Aikataulumielessä, minulla ei ole sitä tässä nyt,
mutta se on SEC Consultin blogikirjoituksessa.

Onko joku tietty päivämäärä, jonka haluat tietää?

Ei, ei. Käyn lukemassa blogikirjoituksen. Kiitos.

Hei, kiitos hyvästä puheesta täällä.

Haluaisin kysyä, että on mitään evidenssiä

tai epäilyksiä, että tätä olisi jo käytetty?

Tämä näyttää melko yksinkertaiselta
haavoittuvuudelta hyödyntää.

Voisin kuvitella, että sitä on jo hyödynnetty.

Jeah, sain joitain kommentteja Reddit postaukseeni

että tämä on supervanha,
mutta asia on...

Kohtalainen haavoittuvuus

Jeah, todennäköisesti

Ei, en tosiaankaan tiedä.

Kävin läpi paljon tutkimuksia, mutta niissä
ei ollut mitään.

Siksi kutsun tätä uudeksi haavoittuvuudeksi.

Translated by Mikko Heikkinen (ITKST56 course assignment at JYU.FI)