Olá ! Recentemente um pesquisador da área de segurança da informação divulgou um conjunto de bugs que permitem que remetentes sejam forjados (spoofing) e, em alguns casos, a injeção de código em clientes de E-mail.
ATENÇÃO: FOI PUBLICADA UMA ATUALIZAÇÃO DESTE ARTIGO, LEIA AQUI:
Primeiramente, gostaria de esclarecer algumas questões sobre esse conjunto de bug, chamado de “Mailsploit”. Conforme o site desta divulgação (https://www.mailsploit.com), o Mailsploit é um conjunto de bugs que permitem que atacantes forjem o endereço do verdadeiro remetente e a injeção de códigos em clientes de E-mail. Esses bugs não são detectados pelos servidores de E-mail (MTA), portanto, contornam mecanismos como SPF, DKIM, DMARC e até mesmo sistemas de anti spam.
Essas vulnerabilidades foram encontradas em diversos clientes de E-mail (MUA) e relação original contém 30 clientes de e-mail. Alguns são vulneráveis a ataques de spoofing e alguns são vulneráveis aos ataques de spoofing e injeção de código.
Relação de clientes de e-mail:
https://docs.google.com/spreadsheets/d/1jkb_ZybbAoUA43K902lL-sB7c1HMQ78-fhQ8nowJCQk
- Portanto, não é uma vulnerabilidade explorada no Zimbra, e sim nos servidores de e-mail (MTA), que não identificam essas explorações e entregam as mensagens aos usuários, em diversos clientes de E-mail.
- A divulgação destas vulnerabilidades pelo pesquisador foi extremamente responsável, notificando os desenvolvedores e fabricantes com até 5 meses de antecedência.
- A solução definitiva pode partir tanto dos servidores de E-mail, que aplicariam mecanismos para impedir a entrega destas mensagens, ou das soluções de anti spam. Irei atualizar esse post assim que tiver qualquer andamento nesse sentido.
Agora falando sobre Zimbra especificamente, o cliente WEB (desde a versão 7.0 até a versão 8.8) é vulnerável a alguns ataques de Spoofing divulgados. Então veremos uma maneira de mitigar o risco do usuário acabar sendo explorado, porém isso também demanda a conscientização dos usuários.
Essa é uma mensagem com uma das variações da exploração:
O remetente é visualizado como “potus@whitehouse.gov”, porém, se passarmos o mouse em cima do mesmo, será exibido o verdadeiro endereço:
Desta forma, o usuário pode ser levado a acreditar que a mensagem provém de um remetente confiável, sendo que se trata de uma exploração.
-
Como isso é possível?
Isso ocorre porque há alguns anos atrás, houve um consenso que clientes de e-mail, entre eles o Zimbra, deveriam exibir somente o nome de exibição (Display Name) do remetente, para uma visualização mais “elegante”. É justamente essa questão, através de conjuntos de caracteres malicioso, que permite o spoofing de remetentes.
-
Como posso mitigar esse risco?
No Zimbra, por padrão essa opção de exibir somente o nome de exibição vem habilitada. O que pode ser feito é desabilitar essa função, alterando o parâmetro “zimbraPrefShortEmailAddress” para “FALSE” nas classes de serviço ou nas contas.
Novamente: Isso também deve contar com a conscientização dos usuários, pois a mensagem continuará sendo entregue, porém também exibindo o verdadeiro endereço do remetente:
Para acompanhamento do tratamento destas vulnerabilidades no Zimbra, este bug pode ser acompanhado:
Respirando Linux 
Um comentário sobre “Zimbra: Mitigando a chance de Spoofing – “Mailsploit””