< Return to Video

37C3 - SMTP Smuggling – Spoofing E-Mails Worldwide

  • 0:00 - 0:05
    Translated by Mikko Heikkinen (ITKST56 course assignment at JYU.FI)
  • 0:05 - 0:14
    [Musiikkia]
  • 0:14 - 0:18
    OK. Seuraavaksi puhuu Timo Longin,
  • 0:19 - 0:22
    joka tunnetaan myös nimellä Timo Login.
  • 0:22 - 0:27
    Hän tietoturvakonsultti ja tutkija. Hän tulee puhumaan uudesta tekniikasta
  • 0:28 - 0:30
    nimeltään SMTP Smuggling,
  • 0:30 - 0:32
    jolla voidaan väärentää sähköposteja
  • 0:32 - 0:34
    ja hyväksikäyttää eräitä eniten käytettyjä palveluita internetissä.
  • 0:34 - 0:37
    Kiitos. Annetaan Timolle applodit.
  • 0:38 - 0:42
    [Applodeja]
  • 0:43 - 0:45
    Kiitos esittelystä.
  • 0:45 - 0:50
    Ensinnäkin, pulskat pahoittelut omasta ja SEC Consult:n puolesta
  • 0:50 - 0:54
    tämän katastrofaalisen haavoittuvuuden julkaisemisesta.
  • 0:55 - 1:01
    Erityisesti pahoittelut Wietselle ja Viktorille Postfixin korjaamisesta.
  • 1:01 - 1:05
    sekä kaikille järjestelmävalvojille ympäri maailman,
  • 1:06 - 1:09
    jotka ovat joutuneet asentamaan korjauksia joululoman aikana.
  • 1:09 - 1:12
    Ja lisäksi, joka tapauksessa,
  • 1:12 - 1:16
    suuret kiitokset Wietselle ja Viktorille
  • 1:16 - 1:18
    heidän sitoutumisestaan.
  • 1:18 - 1:20
    Ja lisäksi suuret kiitokset yhteisölle
  • 1:20 - 1:25
    tämän ongelman viemisestä julkaisujärjestelmiin ja niin edelleen.
  • 1:26 - 1:28
    Ja kaikille... Okei...
  • 1:28 - 1:33
    [Applodeja]
  • 1:35 - 1:37
    Ja kaikille niille,
  • 1:37 - 1:39
    joilla ei ole mitään hajua tästä.
  • 1:39 - 1:42
    Joten minäpä autan teidät samalle sivulle.
  • 1:42 - 1:44
    Noin vuosi sitten olin juuri
  • 1:44 - 1:46
    lopettanut tutkimukseni DNS:n parissa.
  • 1:46 - 1:49
    ja etsin uutta tutkimuskohdetta,
  • 1:49 - 1:52
    kun löysin todennäköisesti helpoimman
  • 1:52 - 1:54
    tavan hakkeroida yrityksen
  • 1:54 - 1:56
    ja kaikki tämä vain yhdellä
  • 1:56 - 1:58
    yksinkertaisella Google-haulla.
  • 1:58 - 2:01
    [Yleisön naurua]
  • 2:01 - 2:04
    Ja tämä saattaa kuulostaa tyhmälle,
  • 2:04 - 2:06
    mutta tämä johdatti minut suuntaan,
  • 2:06 - 2:08
    jonka jo tiesin, mutta en ollut ymmärtänyt.
  • 2:08 - 2:11
    Ja se on, että tietojen kalastelu on edelleen
  • 2:11 - 2:14
    numero 1 ensipääsyvektori yritykseen
  • 2:14 - 2:16
    ja sitten minulla välähti:
  • 2:16 - 2:18
    Miksen tutkisi SMTP:tä,
  • 2:18 - 2:20
    simple mail transfer protocol:aa
  • 2:20 - 2:23
    jota käytetään miljardien sähköpostien
  • 2:23 - 2:25
    lähettämiseen joka päivä ympäri maailman
  • 2:25 - 2:27
    kuten on tehty viimeisen 40 vuoden ajan.
  • 2:27 - 2:30
    Joten matkani eteni DNS:stä SMTP:hen
  • 2:31 - 2:33
    ja tänään esittelen uuden
  • 2:33 - 2:35
    SMTP Smuggling -tekniikan
  • 2:35 - 2:37
    sähköpostien väärentämiseksi.
  • 2:37 - 2:40
    Kuka olenkaan? OIen Timo Longin
  • 2:40 - 2:42
    ja työskentelen tietoturvakonsulttina
  • 2:42 - 2:43
    SEC Consult -yhtiössä ja
  • 2:43 - 2:45
    päivisin teen penetraatiotestausta
  • 2:45 - 2:48
    ja öisin teen haavoittuvuustutkimusta.
  • 2:48 - 2:50
    Ja viimeisen kolmen vuoden aikana olen
  • 2:51 - 2:53
    tutkinut paljon DNS-haavoittuvuuksia.
  • 2:53 - 2:56
    Ja olen julkaissut paljon blogikirjoituksia ja työkaluja.
  • 2:56 - 2:59
    Ja minun täytyi siirtyä eteenpäin.
  • 2:59 - 3:03
    Edellisen kerran, kun joku SEC Consult:sta puhui CCC:ssä...
  • 3:05 - 3:07
    se oli... dildoista.
  • 3:07 - 3:09
    [Yleisön naurua]
  • 3:09 - 3:12
    Ja tiedän, että joudun tuottamaan osalle
  • 3:12 - 3:14
    teistä pettymyksen,
  • 3:14 - 3:15
    mutta tämä esitys ei kerro
  • 3:15 - 3:17
    ihmiseen penetroitumisesta.
  • 3:18 - 3:22
    Esitys kertoo tunkeutumisesta SMTP-protokollan muurien läpi.
  • 3:22 - 3:25
    Joten nähdäksemme miten tämä toimii
  • 3:25 - 3:27
    on meidän ensin ymmärrettävä
  • 3:27 - 3:29
    miten sähköpostien lähetys yleensäkin toimii.
  • 3:29 - 3:33
    Joten tässä meillä on melko yksinkertainen sähköposti-infrastuktuuri.
  • 3:33 - 3:35
    Meillä on sähköpostikäyttäjäagentti,
  • 3:35 - 3:38
    kuten Thunderbird, ja Thunderbird haluaa lähettää sähköpostin
  • 3:38 - 3:42
    esimerkiksi käyttäjänä user@outlook.com.
  • 3:42 - 3:44
    Joten jos haluamme lähettää sähköpostin tällä tavalla
  • 3:44 - 3:47
    meidän täytyy ensin tunnistautua
  • 3:47 - 3:50
    Outlook mail transfer agentille tai
  • 3:50 - 3:52
    ulospäin menevälle SMTP palvelimelle.
  • 3:52 - 3:55
    Ja kun olemme tunnistautuneet,
  • 3:55 - 3:59
    voimme lähettää sähköpostin käyttäjänä user@outlook.com.
  • 3:59 - 4:02
    Ja vain käyttäjänä user@outlook.com.
  • 4:02 - 4:06
    Tämän jälkeen viesti siirretään vastaanottajan
  • 4:06 - 4:09
    SMTP-palvelimelle ja tämä palvelin
  • 4:09 - 4:13
    tarkistaa viestin aitouden.
  • 4:13 - 4:17
    Ja kaikkein yleisen tapa tehdä tämä on SPF.
  • 4:17 - 4:21
    Vastaanottava SMTP-palvelin saa SPF-tietueen
  • 4:21 - 4:24
    DNS-palvelun kautta outlook.com osoitteelle.
  • 4:24 - 4:27
    Ja tarkistaa sen jälkeen, että tämä IP-osoite
  • 4:27 - 4:30
    ja IP-alue on sallittu lähettää sähköpostiviestejä
  • 4:30 - 4:32
    outlook.com osoitteelle.
  • 4:32 - 4:36
    Tässä tapauksessa todellinen Outlook SMTP-palvelin
  • 4:36 - 4:39
    tai ulospäin lähtevä SMTP-palvelin lähetti viestin,
  • 4:39 - 4:41
    vastaanottava SMTP-palvelin
  • 4:41 - 4:42
    hyväksyy viestin.
  • 4:42 - 4:45
    Ja nyt luonnollisesti tässä on erittäin
  • 4:45 - 4:46
    mielenkiintoinen kysymys.
  • 4:46 - 4:50
    Ja kysymys on: onko hyökkääjän mahdollista
  • 4:50 - 4:52
    lähettää sähköpostiviesti
  • 4:52 - 4:55
    esimerkiksi osoitteesta admin@outlook.com tai
  • 4:55 - 4:57
    väärennetystä sähköpostiosoitteesta?
  • 4:57 - 4:59
    Tätä me selvitämme tänään
  • 4:59 - 5:01
    ja se on enemmän tai vähemmän
  • 5:01 - 5:04
    tämän tutkimuksen tavoitteista.
  • 5:04 - 5:05
    En tiedä oletteko huomanneet,
  • 5:05 - 5:07
    mutta näiden palvelimien värit
  • 5:07 - 5:10
    muistuttavat minusta Paavo Pesusieneä
  • 5:10 - 5:12
    ja Patrik Tähtöstä.
  • 5:12 - 5:15
    Ja sen vuoksi kutsumme niitä niiksi.
  • 5:17 - 5:20
    Tutkimuksen yleinen tavoite ja
  • 5:20 - 5:23
    tutkimuksen peruste oli löytää
  • 5:23 - 5:25
    tapa väärentää sähköposteja.
  • 5:25 - 5:28
    Ja ajattelin, että miksi en ottaisi haavoittuvuuksia
  • 5:28 - 5:30
    muista tekstipohjaisista protokollista,
  • 5:30 - 5:34
    kuten HTTP:stä, ja soveltaisi niitä SMTP:hen.
  • 5:36 - 5:40
    Ja oli yksi HTTP haavoittuvuus, joka sopi kuvaan
  • 5:40 - 5:43
    ja se oli HTTP-pyynnön käpelöinti.
  • 5:43 - 5:48
    Tässä meillä on taas Paavo ja Patrik,
  • 5:48 - 5:51
    mutta tällä kertaa HTTP-maailmassa.
  • 5:51 - 5:58
    Joten, mitä tässä tapahtuu? Paavo Pesusieni saa
    POST-tyyppisen pyynnön internetin yli
  • 5:58 - 6:05
    Mielenkiintoista tässä pyynnössä on se,
    että siinä on kaksi otsikkoa
  • 6:05 - 6:09
    kuinka käsitellä POST-pyynnön data.
  • 6:09 - 6:12
    Siinä on Content-Length -otsikko, jonka arvona
    on 43 tavua.
  • 6:12 - 6:15
    Ja siinä on myös Transfer-Encoding -otsikko.
  • 6:15 - 6:20
    Nyt Paavo Pesusienen täytyy päättää,
    miten käsittelen pyynnön ja Paavo päättää
  • 6:20 - 6:25
    käyttää Content-Length otsikkoa, koska se on
    43 tavua.
  • 6:25 - 6:29
    Joten kaikki punaisella kehystetty data
    on välitetty Patrikille.
  • 6:29 - 6:35
    Patrikilla ei ole mitään hajua mitä tehdä - pitäisikö
    minun tulkita Content-Lenth otsikkoa vai
  • 6:35 - 6:40
    Transfer-Encoding -otsikko? Patrik päättää
    tulkita Transfer-Encoding otsikkoa ja
  • 6:40 - 6:42
    nyt meillä on eriävät tulkinnat:
  • 6:42 - 6:49
    Paavo Pesusieni käyttää Content-Length -otsikkoa
    ja Patrik Tähtönen käyttää Transfer-Encoding -otsikkoa.
  • 6:49 - 6:53
    Ja koska Transfer-Encoding on määritetty "chunked" ("paloiteltu") ja
    ja ensimmäinen pala on 0,
  • 6:53 - 6:58
    on loput Paavo Pesusienen lähettämästä datasta
    tulkittu toiseksi pyynnöksi.
  • 6:59 - 7:04
    Itse asiassa tämä tarkoittaa, että Paavo näkee
    yhden pyynnön ja Patrik kaksi pyyntöä.
  • 7:05 - 7:10
    Ja toinen pyyntö voidaan kohdistaa mielivaltaiseen
    resurssipolkuun, kuten "Admin",
  • 7:10 - 7:14
    joka tässä esimerkissä on avoin vain sisäisesti
    palvelimella.
  • 7:14 - 7:16
    Joka on tietenkin ongelma.
  • 7:16 - 7:20
    Joten ajattelin, että miksi en ottaisi
    näitä tulkintaeroja
  • 7:20 - 7:21
    ja laittaisi niitä SMTP:hen.
  • 7:21 - 7:28
    Ymmärtääksemme... tai ainakin päästäksemme
    lähemmäs ymmärrystä miten tämä toimii,
  • 7:28 - 7:31
    täytyy meidän katsoa ensin itse SMTP
    protokollaa.
  • 7:31 - 7:34
    Joten, SMTP näyttää kuta kuinkin tältä.
  • 7:34 - 7:40
    Meillä on kaksi komponenttia: SMTP komennot
    punaisella ja sinisellä viestin data.
  • 7:41 - 7:47
    Lähettääksemme viestin, meidän tulee ensin
    lähettää SMTP komennot:
  • 7:48 - 7:53
    Meidän pitää esitellä itsemme, kertoa lähettäjän
    osoite, yksi tai useampi vastaanottajan osoite ja
  • 7:53 - 7:59
    sitten lähetämme "data" komennon
    kertoaksemme vastaanottavalle SMTP-palvelimelle
  • 8:00 - 8:03
    että olemme nyt vastaanottamassa varsinaista
    viestin dataa.
  • 8:04 - 8:12
    Ja sitten lähetämme viestin datan: määrittelemme
    lähettäjän osoitteen uudelleen, vastaanottajan osoitteen
    ja viestin aiheen.
  • 8:12 - 8:15
    Ja sitten tulee viestin leipäteksti.
  • 8:15 - 8:18
    Ja kun jossain vaiheessa haluamme
    lopettaa viestin datan lähettämisen,
  • 8:18 - 8:22
    meidän tulee lähettää jotain, jota kutsumme
    datan lopetussekvensiksi.
  • 8:22 - 8:27
    Se on "<paluu rivin alkuun><rivinvaihto> piste <paluu rivin alkuun><rivinvaihto>"
    [kääntäjän kommentti: jatkossa .]
  • 8:29 - 8:37
    Tässä vaiheessa ajattelin, että ehkä voisimme
    hämätä tällä jotenkin SMTP-palvelinten toteutuksia.
  • 8:38 - 8:44
    Ajatus oli siis, että meillä on jälleen Paavo Pesusieni
    ja lähetämme sähköpostin Paavo Pesusienelle [SIC].
  • 8:46 - 8:49
    Ja tämä sähköposti sisältää jotain
    todella outoa, jotain joka näyttää
  • 8:49 - 8:54
    lopetussekvensille, mutta se ei ole sitä.
  • 8:54 - 9:00
    Koska se ei ole yhdenmukainen RFC:n kanssa, joku
    voisi virheellisesti tulkita sen datan lopetussekvensiksi.
  • 9:00 - 9:06
    Joten Paavo Pesusieni katsoo tätä ja ajattelee
    ettei tämä ole RFC:stä, en tulkitse tätä
    "end-of-data" sekvensiksi
  • 9:07 - 9:13
    Ja seuraavaksi... tai viestin data siihen saakka,
    kunnes varsinainen datan lopetussekvenssi tulee.
  • 9:13 - 9:14
    Sitten Paavo Pesusieni lähettää viestin Patrikille
  • 9:15 - 9:16
    Ja Patrik on "Jeah, en välitä mistään RFC:stä ja
    ja tulkitsen väärän datan lopetussekvenssi
  • 9:16 - 9:17
    varsinaiseksi datan lopetusmerkiksi."
  • 9:17 - 9:19
    Ja ongelmaksi tässä tulee, että kaikki väärin
    tulkitun lopetussekvenssin tulkitaan SMPT-komennoiksi
  • 9:19 - 9:20
    Ja nyt hyökkääjänä voimme luoda SMTP-komentoja,
    jotka lähettävät toisen sähköpostiviestin.
  • 9:20 - 9:22
    Vaikka Paavo Pesusieni näki yhden ison
    sähköpostiviestin, Patrik näkee kaksi pienempää viestiä.
  • 9:22 - 9:26
    Ja ongelma on se, että toinen viesti voi sisältää
    mielivaltaisia SMTP-komentoja.
  • 9:31 - 9:33
    Kuten, että viesti tulee osoitteesta admin@outlook.com
    tai mitä tahansa.
  • 9:33 - 9:34
    Näin ainakin teoriassa.
  • 9:34 - 9:38
    Nähdäkseni toimiiko tämä todella.
  • 9:38 - 9:42
    Tutkin muutamia SMTP-palvelinten
    toteutuksia yksinkertaisesti
  • 9:42 - 9:46
    ottamalla niihin yhteyttä telnet:llä tai
    netcat:lla.
  • 9:46 - 9:50
    Kun tein tämän, se näytti aluksi RFC:n mukaiselta.
  • 9:50 - 9:54
    Kun lähetät datakomennon, palvelin pyytää
    lopettamaan datan lähettämisen . merkeillä.
  • Not Synced
    Sitten löysin myös palvelimia, jotka sanoivat:
    "lähetä minulla rivi, jossa on vain piste"
  • Not Synced
    Ja tämä asia riippuu paljon käytettävästä
    käyttöjärjestelmästä.
  • Not Synced
    Windows:ssa tämä voi olla <CR><LF>.<CR><LF>
    ja se voi olla .
  • Not Synced
    Siinä kohtaa ajattelin, että tässä voisi
    olla jotain.
  • Not Synced
    Ja kokeilin jotain.
  • Not Synced
    Ensimmäiseksi kokeilin työntää <CR>-, <LF>- ja piste-
    merkkejä Paavo Pesusienen kautta.
  • Not Synced
    Joten kirjoitin SMTP analyysisovelluksen, joka
    lähettää virheellisiä data lopetussekvenssejä,
  • Not Synced
    kuten <LF>.<LF> Ja lähetin viestejä eri SMTP-
    ohjelmistoilla,
  • Not Synced
    sisältäen sähköpostipalveluita Gmail, Outlook, GMX
  • Not Synced
    ja lisäksi sähköpostiohjelmistoja kuten Postfix,
    Exim, Microsoft Exchange Server ja niin edelleen.
  • Not Synced
    Vastaanottavalla puolella tutkin, että mitkä
    vääristä sekvensseistä menee itse asiassa läpi.
  • Not Synced
    Voinko lähettää komennon <LF>.<LF> lähtevän palvelimen
    kautta?
  • Not Synced
    Ja useimmissa tapauksissa se ei toiminut.
  • Not Synced
    <LF>.<LF> on usein suodatettu tai poistettu
    alkuperäisestä viestistä.
  • Not Synced
    Mutta jossain tapauksissa se menee läpi muuttumattomana.
  • Not Synced
    Tämä oli tilanne GMX:n kohdalla. Lähetin sähköpostin
    GMX:stä analyysipalvelimelleni
  • Not Synced
    ja <LF>.<CR><LF> merkkejä ei poistettu.
  • Not Synced
    Seuraavaksi tein proof-of-concept:n, jossa on
    väärennetty datan lopetussekvenssi
  • Not Synced
    ja sen jälkeen toinen sähköpostiviesti.
  • Not Synced
    Jos tämä proof-of-concept toimii,
  • Not Synced
    meidän pitäisi saada kaksi viestiä
    vastaanottajan puolella.
  • Not Synced
    Lähetin tämän kaiken Gmailiin.
  • Not Synced
    Ja Gmail oli sitä mieltä,
    että "tämä ei ei ole datan lopetussekvenssi".
  • Not Synced
    Ja sen näkee siitä, että datan lopetussekvenssin
    jälkeen kaikki on edelleen tulkittu viestin dataksi.
  • Not Synced
    Mutta joissain tapauksissä tämä itse asiassa toimi.
  • Not Synced
    Tämä oli ensimmäinen onnistunut
    SMTP Smuggling tapaus, GMX:stä Fastmail:iin.
  • Not Synced
    Me näemme, että se toimii. Meillä on ensin
    viesti käyttäjältä user@gmx.net
  • Not Synced
    ja toinen viesti käyttäjältä admin@gmx.net,
  • Not Synced
    jotka läpäisevät SPF ja DMARC tarkistukset,
    koska ne tulevat GMX:n palvelimelta.
  • Not Synced
    [Applodeja]
  • Not Synced
    Minä olin, että "tämä on aivan sairasta!"
  • Not Synced
    Ajattelin, että meillä on tämä toinen viesti
    ja siinä voi olla mitä tahansa.
  • Not Synced
    Kuten lähettäjän osoite voi olla mitä vaan.
  • Not Synced
    Joten miksi en kokeilisi muita domaineja,
    jotka osoittavat GMX:n palvelimeen?
  • Not Synced
    Sitten analysoin SPF tietueen ja tajusin...
  • Not Synced
    Tässä on GMX:n SPF-tietue, mutta se on hyvin
    samankaltainen web.de:n tietueen, joka puolestaan
  • Not Synced
    on hyvin samankaltainen Ionoksen tietueen kanssa.
  • Not Synced
    Ja jeah, tilanne on nyt se, että tällä me voimme
    väärentää 1.35 miljoonaa domainia.
  • Not Synced
    Jos ette tiedä mikä Ionos on, niin se on superiso
    hosting- ja sähköpostipalveluiden tarjoaja.
  • Not Synced
    Ja heillä on nämä 1.35 miljoonaa domainia
    kytketty tähän.
  • Not Synced
    Joten, minun täytyi tietenkin kokeilla tätä.
  • Not Synced
    Tässä on sähköposti osoitteesta admin@web.de
  • Not Synced
    Nyt kysymys on tietysti, että toimiiko
    tämä kaikkialla?
  • Not Synced
    Kuten sanoin, niin tämä palvelimilla,
    jotka tulkitsevat lopetussekvenssit
  • Not Synced
    tavalla, joka ei ole RFC:n mukainen,
    kuten .
  • Not Synced
    Voimme siis väärentää 1.35 miljoonaa domainia.
  • Not Synced
    Joten pohjimmiltaan meillä on 1.4 miljoonaa Postifix instansia
    ja 150 tuhatta Sendmail instanssia.
  • Not Synced
    Ja tämä toimii, koska ne tulkitsevat...
  • Not Synced
    [puhuja sekoilee sanoissaan]
  • Not Synced
    Ne tulkitsevat <LF>.<CR><LF>, sekoilen itsekin sanoissani,
    lopetussekvensiksi.
  • Not Synced
    Ja olin, että OK, tämä on aika vakavaa.
  • Not Synced
    Mutta tässä on muutakin.
  • Not Synced
    Katsoin outlook.comia myös ja Outlook
    palautti todella oudon virheilmoituksen
  • Not Synced
    koska siinä on, että pelkät rivinvaihdot
    eivät ole sallittuja.
  • Not Synced
    Olin siinä kohtaa, että pahus, ne tietää
    mitä olen tekemässä.
  • Not Synced
    [Yleisöän naurua]
  • Not Synced
    Siksi analysoin sen tarkemmin, ette pysty
    minua tuolla pelottelemaan.
  • Not Synced
    Joten löysin, että <LF>.<CR><LF>
    on mahdollinen täällä.
  • Not Synced
    [Yleisön applodeja]
  • Not Synced
    Jeah, pidetään vähän hauskaa.
  • Not Synced
    Tässä kohtaa en ollut varma, että
    olenko tulossa hulluksi
  • Not Synced
    vai toimiiko tämä todella.
  • Not Synced
    Joten tarvitsin jonkinlaisen tarkistuksen.
  • Not Synced
    Ja niinpä lähetin sähköpostin
    osoitteesta admin@outlook.com
  • Not Synced
    yhdelle kollegoistani. Idea oli siinä,
    että jos he reagoivat tähän,
  • Not Synced
    se toimii, muutoin olen tullut hulluksi.
  • Not Synced
    Joten....
  • Not Synced
    [Yleisön naurua]
  • Not Synced
    Ja ehkä nyt hieman kansainvälisempi esimerkki,
    koska tämä on todella itävaltalainen, luulen.
  • Not Synced
    Luulen, että ymmärrätte tämän, vaikka ette
    puhu saksaa.
  • Not Synced
    Ja nyt olette, okei, voimme lähettää
    tekstipohjaisia, väärennettyjä sähköposteja
  • Not Synced
    mutta ette pysty huijaamaan tällä ketään
  • Not Synced
    Mutta juttu on siinä, että voimme ujuttaa
    periaatteessa mitä tahansa, HTML mukaan luettuna
  • Not Synced
    Tässä lähetin viestin, kalasteluviestin,
    epätavallisesta kirjautumisesta
  • Not Synced
    osoitteesta no-reply@outlook.com
  • Not Synced
    todelliselta outlook.com palvelimelta itselleni.
  • Not Synced
    Ja se vain meni läpi.
  • Not Synced
    Mutta mitä tämä mahdollistaa?
  • Not Synced
    Pohdiskelin, että voimme väärentää
    outlook.comin, mutta mitä muuta voimme tehdä tällä?
  • Not Synced
    Katsoin SPF tietuetta ja se oli outo,
    oudosti tuttu. koska tämä ei ole
  • Not Synced
    pelkästään outlook.comin SPF tietue
  • Not Synced
    vaan miljoonien muiden domainien SPF tietue.
  • Not Synced
    Sen vuoksi, koska tämä Exchange Online
    palvelun SPF tietue.
  • Not Synced
    Outlook.com lähettää sähköpostit Exchange Online
    infrastruktuurin kautta,
  • Not Synced
    joten voimme itse asiassa väärentää ne kaikki.
  • Not Synced
    Minun piti kokeilla tätä taas.
  • Not Synced
    Tämä toimi ainoastaan teknisesti,
    en saanut palkan korotusta.
  • Not Synced
    Mikä vaikutus tällä on?
  • Not Synced
    Voimme väärentää miljoonia domaineja,
    mutta ketkä hyväksyvät nämä sähköpostit?
  • Not Synced
    Jälleen Postfix ja Sendmail, mutta vain ne
    instanssit, jotka eivät hyväksy BDAT komentoa.
  • Not Synced
    BDAT on vaihtoehtoinen datakomennolle
  • Not Synced
    ja jos sitä tuetaan, tämä ei toimi.
  • Not Synced
    Se oli ulospäin suuntautuva ujutus,
    joka on yksi osa tätä.
  • Not Synced
    Sitten on myös sisäänpäin tuleva
    SMTP ujutus.
  • Not Synced
    Ulospäin suuntautuvassa ongelma oli
    lähettävä palvelin
  • Not Synced
    koska palvelin epäonnistui tai ei tehokkaasti
    suodattanut väärennettyä datan lopetusekvenssiä
  • Not Synced
    kuten <LF>.<CR><LF> Microsoftinh ja
    GMX palveluissa.
  • Not Synced
    Sitten on lisäksi sisäänpäin tuleva SMTP ujutus.
  • Not Synced
    Tämä tapahtuu, kun on vastaanottava palvelin,
    joka tulkitsee sellaisen villin datan lopetussekvenssin,
  • Not Synced
    josta lähettävällä palvelimella ei ole hajuakaan
    suodattaa pois.
  • Not Synced
    Löysin tällaisen Cisco Securesta, tietysti, Email Cloud Gateway:sta
  • Not Synced
    Mitä he tekevät on, ett'ähe siivoavat viestin ja <CR> merkki
    korvataan merkeillä.
  • Not Synced
    Joten itse asiassa, <CR>.<CR> merkkien tulkinta
    palauttaa datan lopetussekvenssin.
  • Not Synced
    [Yleisön applodeja]
  • Not Synced
    Ongelma on nyt siis tietenkin se, että <CR>.<CR>
    ei suodateta ollenkaan pois.
  • Not Synced
    On palveluita, jotka sen tekevät, mutta meillä
    on jälleen Exchange Online, iCloud, Sendmail, Postix
  • Not Synced
    ja monia muita, jotka päästävät tämän läpi.
  • Not Synced
    Tavallaan se käy järkeen, koska en hoksaisi
    sitä itsekään.
  • Not Synced
    Joten, minun täytyi kokeilla tätä jälleen.
  • Not Synced
    Valitettavasti, tai teknisesti, se toimi jälleen,
  • Not Synced
    mutta en saanut en saanut yhtään Applen laitetta.
  • Not Synced
    Ei sillä, että olisin halunnut muutenkaan.
  • Not Synced
    Mikä vaikutus tällä on?
  • Not Synced
    Pohjimmiltaan voimme väärentään vielä
    enemmän domaineja kuin edellä.
  • Not Synced
    Meillä on Exchange Online, meillä on iCloud,
  • Not Synced
    meillä on Postfix ja Sendmail.
  • Not Synced
    Ja voimme väärentää yrityksiä, joilla on
    vara tähän - aika isoja yrityksiä tässä.
  • Not Synced
    Tämä pitää sisällää yli 40 tuhatta muuta domainia.
  • Not Synced
    Ja se on vain ne, jotka on hostattu pilvessä.
  • Not Synced
    Lisäksi on on-prem instanssit, mutta en pystynyt
    käymään niitä läpi.
  • Not Synced
    Ja nyt osuuteen, joka on luultavasti mielenkiintoisin teille,
    tai ainakin osalle teistä.
  • Not Synced
    Vastuullinen julkaisu.
  • Not Synced
    Puhtaasti teknisesti, koskien lähettäviä ja
    vastaanottavia palvelimia, kenen vika tämä on?
  • Not Synced
    Meillä on vastaanottavia palvelimia, joiden ei
    koskaan oleteta tulkitsevan mitään muita
  • Not Synced
    datan lopetussekvenssejä kuin <CR><LF>.<CR><LF>,
    ainkin RFC:n mukaan.
  • Not Synced
    Sitten meillä on lähettäviä palvelimia, joiden
    ei oleteta lähettävän ja merkkejä
  • Not Synced
    toisistaan riippumatta.
  • Not Synced
    Joten lopulta tämän on kaikkien vika.
  • Not Synced
    Lähetimme tämän tiedon GMX:lle.
  • Not Synced
    He olivat superkiitollisia ja ilmoittivat
    korjaavansa asian saman tien.
  • Not Synced
    10 päivää myöhemmin he korjasivat tämän.
  • Not Synced
    He pyysivät meitä tarkastamaan uudelleen ja
    tarkastimme, että he todella korjasivat sen.
  • Not Synced
    He maksoivat meille pienen palkkion.
  • Not Synced
    Ha laittoivat meidät jopa heidän
    Bug Bounty Hall of Fame:en.
  • Not Synced
    Kaiken kaikkiaan se oli 10/10 kokemus.
  • Not Synced
    [Applodeja]
  • Not Synced
    Aion lähettää heille tallenteen teidän applodeista. Kiitos!
  • Not Synced
    Tuntui melkein sille, että meidän olisi pitänyt
    maksaa palkkio heille.
  • Not Synced
    Tästä eteenpäin mennäänkin sitten alamäkeä.
  • Not Synced
    Meillä on Microsoft. Microsoft oli sitä mieltä,
    että tämä on kohtuullisen riskin haavoittuvuus.
  • Not Synced
    En tiedä, ehkä heillä on suurempi kala kiikarissa,
    mutta joka tapauksessa.
  • Not Synced
    Lähetimme tiedot heille ja kolme kuukautta
    myöhemmin he sulkivat tapauksen ja sanoivat,
  • Not Synced
    että kaikki on korjattu, ei palkkiota ja niin edelleen.
  • Not Synced
    Tässä kohtaa olin saanut jo mitä halusin.
  • Not Synced
    Ja se on sähköpostin saaminen osoitteesta
    admin@microsoft.com
  • Not Synced
    Ja sitten Ciscoon.
  • Not Synced
    Ciscon mielestä tämä ei ollut haavoittuvuus,
  • Not Synced
    vaan dokumentoitu ja konfiguroitava ominaisuus.
  • Not Synced
    Me olimme sitä mieltä, että onpa outo
    ominaisuus,
  • Not Synced
    koska voimme väärentää sähköposteja sillä.
  • Not Synced
    Sanoimme, että kertokaa edes asiakkaillenne
    tästä ominaisuudesta,
  • Not Synced
    joka ei välttämättä ole paras oletustoiminallisuus.
  • Not Synced
    He sanoivat "Ei".
  • Not Synced
    Me olimme siinä, että meillä on tämä
    suuri SMTP Smuggling ongelma.
  • Not Synced
    Ja Cisco ei halua tehdä mitään, Microsoft
    oli haavoittuvainen.
  • Not Synced
    Me veimme tämän tapauksen CERT/CC:lle.
  • Not Synced
    Niille, jotka eivät tiedä, CERT/CC koordinoi
    ja käsittelee näitä suuria haavoittuvuuksia,
  • Not Synced
    joilla voi olla maailmanlaajuisia vaikutuksia.
  • Not Synced
    Me lähetimme tiedot heille ja he itse asiassa
    hyväksyivät tapauksen.
  • Not Synced
    Sitten olemme tässä Vince portaalissa.
  • Not Synced
    Joka on periaatteessa iso chat-huone, jossa
    14 toimittajaa.
  • Not Synced
    Siellä on Microsoft, SendMail, Cisco, Google
  • Not Synced
    Ja sitten voimme alkaa puhumaan haavoittuvuudesta
  • Not Synced
    Ensimmäisessä keskustelussa Cisco sanoo
    edelleen, että kyseessä ei ole haavoittuvuus.
  • Not Synced
    Tiedättehän, se ei ole bugi, vaan ominaisuus.
  • Not Synced
    Noh, joka tapauksessa se ei ole bugi heidän
    mielestään.
  • Not Synced
    Ja sitten CERT/CC on sitä mieltä, että
    kyseessä ei ole haavoittuvuus, jostain syystä.
  • Not Synced
    Kuinkas yleinen SMTP ujutusongelma?
  • Not Synced
    Entäs Postfixin ja Sendmailin RFC:stä eriävät
    tulkinnat datan lopetussekvenssistä?
  • Not Synced
    Ensinnäkin, Sendmail oli tässä Vince portaalissa
    alusta alkaen.
  • Not Synced
    He saivat kaikki PoC:t, viestit, kaiken.
  • Not Synced
    Ja he eivät sanoneet mitään.
  • Not Synced
    Entäpä Postfix? He ovat 10 kertaa suurempi.
  • Not Synced
    CERT/CC oli... en tiedä miksi he eivät
    lisänneet heitä tapaukseen suoraan.
  • Not Synced
    Mutta CERT/CC lähetti heille sähköpostin, mutta
    unohti mainita SMTP ujutuksen.
  • Not Synced
    Luulimme siis, että he kertoivat Postfixille,. Sendmailia
    ei nähtävästi kiinnostanut. CERT/CC on Ciscon puolella asiassa.
  • Not Synced
    Me olimme, että Cisco on taatusti haavoittuvainen,
    olimme varmistaneet sen.
  • Not Synced
    Joten haluaisimme julkistaa tämän blogissa.
  • Not Synced
    Ja tästä ongelmat vasta alkoivatkin.
  • Not Synced
    Kerroimme, että haluaisimme julkaista tästä
    blogikirjoituksen ja varoittaisimme Ciscon asiakkaita
  • Not Synced
    tästä haavoittuvuudesta.
  • Not Synced
    CERT/CC oli sitä mieltä, että "Antaa mennä vaan!
    Lähettäkää meille linkki kirjoitukseen, kun se on julkaistu"
  • Not Synced
    Päätimme edetä ja tulimme avanneeksi Pandoran
    laatikon, koska nyt 1.6 miljoonaan Postfix ja Sendmail
  • Not Synced
    instanssia ovat haavoittuvina internetissä.
  • Not Synced
    Ja se tarkoittaa, että jos tapahtuu ulospäin suuntautuva
    SMTP ujuttelu, niin voit hyväksikäyttää Postfixiä ja Sendmailia yhä.
  • Not Synced
    Tarkoittaako tämä, ettei SEC Consultissa ole yhtään vikaa?
  • Not Synced
    Totta kai SEC Consultissa on vikaa.
  • Not Synced
    Julkaisimme blogikirjoituksen olettaen, että
    vaikutus olisi pienempi kuin se todellisuudessa oli
  • Not Synced
    perustuen keskesteluihin CERT/CC:n kanssa ja
    VINCE:ssä muutenkin.
  • Not Synced
    Ja jos olisimme vain tuplavarmistaneet Postfixin
    kanssa, että julkaisu ei ole ongelma, tätä ei olisi tapahtunut,
  • Not Synced
    koska he ovat järkkymättämiä, että tämä on ongelma.
  • Not Synced
    Yhteenveto, mitä tämä tarkoittaa?
  • Not Synced
    Korjatkaa Postfix palvelimenne! Löydätte lisätietoja
    Postfixin nettisivuilta.
  • Not Synced
    Lisäksi korjatkaa Cisco palvelimenne. Voitte löytää
    lisätietoja siitä SEC Consult:n blogista.
  • Not Synced
    [Yleisön naurua ja aplodit]
  • Not Synced
    Lopuksi, tässäkin pilvessä on jonkinlainen hopeareunus.
  • Not Synced
    Nyt Postfix on suoraan mukana VINCE tapauksessa
  • Not Synced
    ja he ovat jo antaneet suuren panoksen.
  • Not Synced
    Emme työnnä päätämme pensaaseen ja yritä
    aktiivisesti sulkea Pandoran lipasta jälleen.
  • Not Synced
    Ja mitä se tarkoittaa? Lisää tutkimusta SMTP ujuttelusta
  • Not Synced
    Tarkoitan, että pyysin CERT/CC:tä katsomaan tätä
    tarkemmin, niin, se ei päättynyt kovin hyvin.
  • Not Synced
    Lisää blogikirjoituksia, lisää tutkimusta ja
    ennen kaikkea lisää toimijoita VINCE tapaukseen.
  • Not Synced
    Yritämme saada kaiken korjattua ja olemme pahoillamme,
    että tämä tapahtui ylipäätään.
  • Not Synced
    Lopuksi jotain, jonka kaikki tiedätte. Älkää
    luottako sähköposteihinn sokeasti, erityisesti tällä hetkellä.
  • Not Synced
    Kiitos.
  • Not Synced
    [Aplodeja]
  • Not Synced
    Hienoa, mennään kysymyksiin.
  • Not Synced
    Ole hyvä.
  • Not Synced
    Hei, minulla on yksi lyhyt kysymys CERT/CC asiasta.
  • Not Synced
    Oliko tämä kommunikoitu sähköpostilla?
  • Not Synced
    Ja etkö olisi voinut lähettää viestin viestin
    Ciscon CDO:na?
  • Not Synced
    Kyllä, olisimme voineet tehdä sen ja luoda
    jonkinlaisen kolmiodraamaan
  • Not Synced
    Bill Gatesin, Elon Muskin ja jonkun muun välille.
  • Not Synced
    Mutta valitettavasti emme nähneet tätä sähköpostia.
  • Not Synced
    Näimme sen jälkeen päin, mutta se oli valitettavasti
    liian myöhäistä.
  • Not Synced
    Hei, kiitos teille. Arvostan työtänne.
  • Not Synced
    Voisitko kertoa hieman aikajanasta?
  • Not Synced
    Koska löysitte tämän ensimmäisen kerran?
  • Not Synced
    Aloitin tutkimuksen kesäkuussa kuluvana vuonna
  • Not Synced
    Minulla oli 10 päivän projekti SEC Consultilla.
  • Not Synced
    Olin sitä mieltä, että 10 päivää ei riitä, joten
    aloitin 10 päivää aiemmin.
  • Not Synced
    Sitten löysin SMTP ujuttelun kuudentena päivänä
  • Not Synced
    Sitten asia eteni kertomalla GMX:lle, Outlookille
    tai Microsoftille ja Ciscolle
  • Not Synced
    koska heillä oli vakavat SMTP ujuttelutapaukset,
    koskien sekä lähtevää ja saapuvaa.
  • Not Synced
    Sitten jatkoimme ja kerroimme CERT/CC:lle, koska
    tämä vaikutti olevan laajempi ongelma maailmanlaajuisesti.
  • Not Synced
    Aikataulumielessä, minulla ei ole sitä tässä nyt,
    mutta se on SEC Consultin blogikirjoituksessa.
  • Not Synced
    Onko joku tietty päivämäärä, jonka haluat tietää?
  • Not Synced
    Ei, ei. Käyn lukemassa blogikirjoituksen. Kiitos.
  • Not Synced
    Hei, kiitos hyvästä puheesta täällä.
  • Not Synced
    Haluaisin kysyä, että on mitään evidenssiä
  • Not Synced
    tai epäilyksiä, että tätä olisi jo käytetty?
  • Not Synced
    Tämä näyttää melko yksinkertaiselta
    haavoittuvuudelta hyödyntää.
  • Not Synced
    Voisin kuvitella, että sitä on jo hyödynnetty.
  • Not Synced
    Jeah, sain joitain kommentteja Reddit postaukseeni
  • Not Synced
    että tämä on supervanha,
    mutta asia on...
  • Not Synced
    Kohtalainen haavoittuvuus
  • Not Synced
    Jeah, todennäköisesti
  • Not Synced
    Ei, en tosiaankaan tiedä.
  • Not Synced
    Kävin läpi paljon tutkimuksia, mutta niissä
    ei ollut mitään.
  • Not Synced
    Siksi kutsun tätä uudeksi haavoittuvuudeksi.
  • Not Synced
    Translated by Mikko Heikkinen (ITKST56 course assignment at JYU.FI)
Title:
37C3 - SMTP Smuggling – Spoofing E-Mails Worldwide
Description:

more » « less
Video Language:
English
Duration:
31:40

Finnish subtitles

Revisions Compare revisions