Zimbra: Mitigando a chance de Spoofing – “Mailsploit”

Olá ! Recentemente um pesquisador da área de segurança da informação divulgou um conjunto de bugs que permitem que remetentes sejam forjados (spoofing) e, em alguns casos, a injeção de código em clientes de E-mail.

ATENÇÃO: FOI PUBLICADA UMA ATUALIZAÇÃO DESTE ARTIGO, LEIA AQUI:

https://respirandolinux.com.br/2018/03/08/atualizado-zimbra-mitigando-a-chance-de-spoofing-mailsploit-corrigido-na-versao-8-8-7/

Primeiramente, gostaria de esclarecer algumas questões sobre esse conjunto de bug, chamado de “Mailsploit”. Conforme o site desta divulgação (https://www.mailsploit.com), o Mailsploit é um conjunto de bugs que permitem que atacantes forjem o endereço do verdadeiro remetente e a injeção de códigos em clientes de E-mail.  Esses bugs não são detectados pelos servidores de E-mail (MTA), portanto, contornam mecanismos como SPF, DKIM, DMARC e até mesmo sistemas de anti spam.

Essas vulnerabilidades foram encontradas em diversos clientes de E-mail (MUA) e relação original contém 30 clientes de e-mail. Alguns são vulneráveis a ataques de spoofing e alguns são vulneráveis aos ataques de spoofing e injeção de código.

Relação de clientes de e-mail:

https://docs.google.com/spreadsheets/d/1jkb_ZybbAoUA43K902lL-sB7c1HMQ78-fhQ8nowJCQk

  • Portanto, não é uma vulnerabilidade explorada no Zimbra, e sim nos servidores de e-mail (MTA), que não identificam essas explorações e entregam as mensagens aos usuários, em diversos clientes de E-mail.
  • A divulgação destas vulnerabilidades pelo pesquisador foi extremamente responsável, notificando os desenvolvedores e fabricantes com até 5 meses de antecedência.
  • A solução definitiva pode partir tanto dos servidores de E-mail, que aplicariam mecanismos para impedir a entrega destas mensagens, ou das soluções de anti spam. Irei atualizar esse post assim que tiver qualquer andamento nesse sentido.

Agora falando sobre Zimbra especificamente, o cliente WEB (desde a versão 7.0 até a versão 8.8) é vulnerável a alguns ataques de Spoofing  divulgados.  Então veremos uma maneira de mitigar o risco do usuário acabar sendo explorado, porém isso também demanda a conscientização dos usuários.

Essa é uma mensagem com uma das variações da exploração:

O remetente é visualizado como “potus@whitehouse.gov”, porém, se passarmos o mouse em cima do mesmo, será exibido o verdadeiro endereço:

Desta forma, o usuário pode ser levado a acreditar que a mensagem provém de um remetente confiável, sendo que se trata de uma exploração.

  • Como isso é possível?

Isso ocorre porque há alguns anos atrás, houve um consenso que clientes de e-mail, entre eles o Zimbra, deveriam exibir somente o nome de exibição (Display Name) do remetente, para uma visualização mais “elegante”.  É justamente essa questão, através de conjuntos de caracteres malicioso, que permite o spoofing de remetentes.

  • Como posso mitigar esse risco?

No Zimbra, por padrão essa opção de exibir somente o nome de exibição vem habilitada. O que pode ser feito é desabilitar essa função, alterando o parâmetro “zimbraPrefShortEmailAddress” para “FALSE” nas classes de serviço ou nas contas.

Novamente: Isso também deve contar com a conscientização dos usuários, pois a mensagem continuará sendo entregue, porém também exibindo o verdadeiro endereço do remetente:

Para acompanhamento do tratamento destas vulnerabilidades no Zimbra, este bug pode ser acompanhado:

https://bugzilla.zimbra.com/show_bug.cgi?id=108709

Anúncios

Um comentário sobre “Zimbra: Mitigando a chance de Spoofing – “Mailsploit”

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

w

Conectando a %s