![\"Mail\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2016\/07\/Mail.jpg\" "\\"Gmail\\"")
[English]Seit Mitte Dezember 2023 ist das neue, alte, Thema \"SMTP Smuggling\" in den Medien. Es handelt sich um eine seit gut 20 Jahren bekannte Technik, um Inhalte in eine E-Mail zu schmuggeln, die dort \"unter falscher Flagge segeln\". Leser haben in diversen Kommentaren bereits auf das Thema hingewiesen (danke daf\u00fcr, ich hatte es in den Medien selbst mitbekommen). Ich gebe nachfolgenden einen kurzen \u00dcberblick, um was es geht und wie es sich auswirken kann.<\/p>\n
<\/p>\n
Sicherheitsforscher von Sec Consulting sind bei einer Untersuchung des Simple Mail Transfer Protocols im Juni 2023 auf Schwachstellen gesto\u00dfen, die einen Missbrauch erm\u00f6glichen. Durch Einf\u00fcgen von Trennzeichen (CRLF) ist es m\u00f6glich, in einer Mail verschiedene Inhalte einzuf\u00fcgen, die scheinbar von einem legitimen Absender stammen. Dadurch lassen sich Verifizierungstechniken f\u00fcr Absender (SPF, DKIM und DMARC) aushebeln.<\/p>\n Die Sicherheitsforscher von Sec Consult haben ihre Erkenntnisse zum 18. Dezember 2023 im Beitrag SMTP Smuggling – Spoofing E-Mails Worldwide<\/a> ver\u00f6ffentlicht und auf dem 37C-Kongress des Chaos Computer Club (CCC) in einem Vortrag<\/a> pr\u00e4sentiert. Die Aufzeichnung des Vortrags ist auf YouTube<\/a> abrufbar. <\/p>\n Problem bei dem ganzen Ansatz ist, dass die Implementierung von E-Mail-Diensten in SMTP-Anforderungen eingef\u00fcgte Trennzeichen (CRLF, Nullen etc.) auf unterschiedliche Art und Weise interpretieren. Dieses Problem ist eigentlich seit 20 Jahren bekannt wie man in diesem OWASP-Artikel<\/a> und die dort zu findende Referenz auf CWE-93<\/a> nachlesen kann. Die CVE-2002-1771<\/a> aus dem Jahr 2002 weist darauf hin, das eine als CRLF-Injektion beschriebene Methode ein Spam-Proxy (E-Mail-Header hinzuf\u00fcgen) unter Verwendung von E-Mail-Adresse oder Name erm\u00f6glicht. <\/p>\n Die Sicherheitsforscher haben im Juni 2023 dann neue Varianten dieser CRLF-Injektionstechniken entdeckt und diese unter dem Begriff SMTP Smuggeling zusammengefasst und beschrieben. Die M\u00f6glichkeit, eine Mail unter dem Absender admin@microsoft.com<\/em> an Fortune-500-Unternehmen zu schicken und trotzdem die SPF-Pr\u00fcfung zu bestehen, ist nur eines der sich daraus ergebenden Probleme.<\/p>\n Nach internen Recherchen haben die Sicherheitsforscher sich mit mit den betroffenen Anbietern (Microsoft, Cisco, GMX\/Ionos) in Verbindung gesetzt. GMX hat wohl binnen zwei Wochen reagiert, Microsoft hat die Probleme nach zwei Monaten gefixt. <\/p>\n Von Cisco erhielten die Sicherheitsforscher die R\u00fcckmeldung hatten, dass es sich bei der von uns identifizierten Schwachstelle lediglich um eine Funktion der Software und nicht um einen Fehler bzw. eine Schwachstelle handelt. Deshalb haben sich die Sicherheitsforscher am 17. August an CERT\/CC gewandet, und um Hilfe f\u00fcr weitere Gespr\u00e4che mit Cisco zu gebeten. <\/p>\n Die Hoffnung war zudem, andere potenziell betroffene Anbieter (wie sendmail) \u00fcber die Kommunikationsplattform VINCE einzubeziehen. Mein Kenntnisstand ist, dass das Cisco Secure Email Gateway sich bisher nur durch manuelle Eingriffe gegen SMTP Smuggeling h\u00e4rten l\u00e4sst. <\/p>\n Im Rahmen der verantwortungsvollen Offenlegung (Responsible Disclosure) durch obigen Blog-Beitrag und den Vortrag auf der 37C3 kam es dann zu Verstimmungen bei den Entwicklern von Projekten wie Postfix, die wohl \u00fcberrascht wurden. Die Entdecker schieben dies in einem Nachtrag<\/a> zu ihrer Ver\u00f6ffentlichung, auf Missverst\u00e4ndnisse und unklarer Kommunikation. Aufgrund des Feedbacks von kontaktierten E-Mail-Anbietern und der Tatsache, dass mehrere andere Anbieter \u00fcber die VINCE-Plattform von CERT\/CC in diese Diskussion einbezogen wurden, ohne Einspruch zu erheben, habe man die breiteren Auswirkungen der Offenlegung falsch eingesch\u00e4tzt. Aufgrund verschiedener Annahme haben die Sicherheitsforscher Ende November bei CERT\/CC nachgefragt, ob die Details ver\u00f6ffentlicht werden k\u00f6nnten und erhielten die Best\u00e4tigung, dass dies zu tun. <\/p>\n Aussage: Da der Beitrag auf der 37C3-Konferenz Ende Dezember 2023 akzeptiert wurde (Info ging am am 3. Dezember 2023 zu) und die Sicherheitsforscher der Meinung waren, dass Cisco-Benutzer vor der anf\u00e4lligen Standardkonfiguration gewarnt werden sollten, fiel der Beschluss, die Informationen vor dieser Konferenz zu ver\u00f6ffentlichen. Am 5. Dezember wurden CERT-Bund (BSI Deutschland) und CERT.at per verschl\u00fcsselter E-Mail \u00fcber das geplante Ver\u00f6ffentlichungsdatum des Blog-Beitrags zum 18. Dezember 2023 informiert. Der Mail f\u00fcgten die Sicherheitsforscher die vollst\u00e4ndigen Details des Blog-Beitrags sowie einen weiteren Aufruf zur Warnung der Cisco-Benutzer bei. Es gab wohl keine Einw\u00e4nde zur Ver\u00f6ffentlichung.<\/p>\n Scheint wohl bei den Postfix-Entwicklern etwas \u00c4rger verursacht<\/a> zu haben, wie man einer auf X<\/a> (siehe obiger Screenshot) sehen kann. Die Postfix-Entwickler Wietse Venema und Viktor Dukhovni haben aber umgehend auf die Bedrohung durch SMTP-Schmuggel reagiert und kurzfristige Workarounds ver\u00f6ffentlicht<\/a>, wie die Schwachstelle behoben werden kann. Artikel zum Thema finden sich auch bei The Hacker News<\/a> oder auf Deutsch bei heise<\/a>.<\/p>\n F\u00fcr die Leserschaft dieses Blog, die oft mit Microsoft Exchange unterwegs ist, noch eine kurze Erg\u00e4nzung des Sachverhalts. Ich bin auf Twitter bereits Ende Dezember 2023 auf nachfolgenden Tweet<\/a> von Frank Carius gesto\u00dfen. <\/p>\n Frank hat das Ganze in seinem Beitrag SMTP Smuggling und Exchange<\/a> aufbereitet und gibt eine Einsch\u00e4tzung: Ihr Mailserver oder das darunterliegende Betriebssystem ist nicht direkt in Gefahr aber wenn ihr Mailserver f\u00fcr diesen Missbrauch empf\u00e4nglich ist, dann sendet ihr Server mit einer beliebigen Absenderadresse an einen beliebigen Empf\u00e4nger und der b\u00f6se Absender kann von ihrem Vertrauenslevel profitieren. Das Risiko ist h\u00f6her, wenn der Absender sich an ihrem Server authentifizieren kann oder der Absender eine interne Adresse als Absender missbraucht.<\/em><\/p>\n Vom BSI gibt es diese Einsch\u00e4tzung<\/a> vom 22. Dezember 2023. Die Kernaussagen zur Ver\u00f6ffentlichung des Cybersicherheitsunternehmens SEC Consult zur neuen Angriffstechnik mittels \"Simple Mail Transfer Protocol (SMTP) Smuggling\". <\/p>\n Beim SMTP Smuggling machen sich die Angreifenden zunutze, dass verschiedene SMTP-Implementierungen die Kennzeichnung des Endes einer E-Mail-Nachricht unterschiedlich interpretieren. Sie k\u00f6nnen so E-Mails versenden, die durch ein betroffenes E-Mail-System in mehrere E-Mails aufgespalten werden. Auf diesem Weg entstehen neue E-Mails, die gef\u00e4lschte Absender nutzen (Spoofing), Authentifizierungsmechanismen, wie SPF, DKIM und DMARC umgehen oder Warnungen, wie z.B. eine Spam-Markierung in der Betreffzeile, nicht mehr tragen.<\/p>\n<\/blockquote>\n Durch die Ausnutzung von Unterschieden in der Interpretation einer Sequenz zwischen ausgehenden und eingehenden SMTP-Servern k\u00f6nnen Angreifende gef\u00e4lschte E-Mails im Namen vertrauensw\u00fcrdiger Dom\u00e4nen versenden. Dies erm\u00f6glicht wiederum verschiedenste Social Engineering- bzw. Phishing-Angriffe.<\/p>\n<\/blockquote>\n Das gesamte BSI-Dokument l\u00e4sst sich als PDF-Datei<\/a> herunterladen.<\/p>\n","protected":false},"excerpt":{"rendered":" [English]Seit Mitte Dezember 2023 ist das neue, alte, Thema \"SMTP Smuggling\" in den Medien. Es handelt sich um eine seit gut 20 Jahren bekannte Technik, um Inhalte in eine E-Mail zu schmuggeln, die dort \"unter falscher Flagge segeln\". Leser haben … Weiterlesen Beim Versenden von E-Mails kommt das Simple Mail Transfer Protocol<\/a> (SMTP) zum Einsatz. Dieses Protokoll wurde 1982 unter dem RFC 821 als Standard verabschiedet und ist inzwischen breit im Einsatz. <\/p>\n
![\"SMTP](\"https:\/\/i.postimg.cc\/zDwP8Bqz\/image.png\"\/ "\\"SMTP")
SMTP Smuggling, Quelle: Sec Consulting<\/a><\/p>\nAltbekanntes Problem, neuer Ansatz<\/h3>\n
Mail-Anbieter kontaktiert, gemischte Reaktionen<\/h3>\n
\u00c4rger bei der Offenlegung<\/h3>\n
![\"SMTP](\"https:\/\/i.postimg.cc\/X7kGFW1L\/image.png\"\/ "\\"SMTP")
<\/a><\/p>\nRisiko-Einsch\u00e4tzung f\u00fcr Exchange<\/h2>\n
![\"SMTP](\"https:\/\/i.postimg.cc\/vZ8hkb42\/image.png\" "\\"SMTP")
<\/a><\/p>\n\n
\n