20 Nov
2018

Amélioration de la sécurité des E-mails avec procmail

Fuente: https://www.impsec.org/email-tools/sanitizer-threats.html

Menaces, exploits et attaques

Ataques basados en correo electrónico

Existen cuatro tipos de ataques contra la seguridad del sistema que se pueden realizado vía correo electrónico:

  • Los ataques de contenido activo, que se aprovechan de varios funciones de HTML y scripting activas y bugs.
  • Ataques de desbordamiento de búfer, donde el atacante envía algo que es demasiado grande para caber en un búfer de memoria de tamaño fijo en el correo electrónico cliente, con la esperanza de que la parte que no encaja se sobrescribirá crítica información en lugar de ser descartado con seguridad.
  • Ataques de caballo de Troya, donde un programa ejecutable o un script de macro-lenguaje que conceda acceso, cause daño, se auto-propague ¿o se envían otras cosas no deseadas a la víctima como archivo adjunto etiquetado como algo inocuo, como una tarjeta de felicitación o protector de pantalla, o oculta en algo que la víctima está esperando, como una hoja de cálculo o Documento. Esto también se denomina Social Ataque de ingeniería, donde el objetivo del ataque es convencer a los víctima para abrir el mensaje adjunto.
  • Ataques shell script, donde un fragmento de un Unix shell script se incluye en los encabezados de los mensajes con la esperanza de que un el cliente de correo UNIX incorrectamente configurado ejecutará los comandos.

Otro ataque a la privacidad del usuario, pero no a la seguridad del sistema, es el uso de los llamados bugs web que pueden notificar a un seguimiento sitio cuando y donde se lee un mensaje de correo electrónico dado.


Ataques de contenido activo, alias Browser Ataques, ataques HTML activos o ataques de secuencias de comandos

Estos ataques están dirigidos a personas que utilizan un navegador web o HTML habilitado cliente de correo electrónico para leer su correo electrónico, que en estos días es una porción muy grande de la comunidad informática. Normalmente, estos ataques intentan utilizar el scripting características de HTML o del cliente de correo electrónico (normalmente JavaScript o VBScript) para recuperar información privada del equipo de la víctima o para ejecutar código en el ordenador de la víctima sin el consentimiento de la víctima (y posiblemente sin el conocimiento de la víctima).

Las formas menos peligrosas de estos ataques pueden causar automáticamente la equipo del destinatario para mostrar algún contenido que el atacante desea, como abrir automáticamente una página web de publicidad o pornografía cuando el se abre el mensaje o se realiza un ataque de denegación de servicio en el computadora a través del código que congela o bloquea el navegador o todo el Computadora.

La forma más sencilla de evitar completamente estos ataques es no utilizar una web navegador o cliente de correo electrónico habilitado para HTML para leer su correo electrónico. Ya que muchos de Estos ataques no dependen de errores en el software cliente de correo electrónico, no se puede evitar a través de parches al cliente de correo electrónico. Si utiliza una web cliente de correo electrónico consciente del navegador o HTML , usted será vulnerable a este tipo de ataques.

Además, como algunos de estos ataques dependen del cliente de correo electrónico que puede ejecutar HTML con secuencias de comandos en lugar de depender de las debilidades de cualquier sistema operativo en particular, estos ataques pueden ser multiplataforma. Un El cliente de correo electrónico habilitado para HTML en un Macintosh es tan vulnerable a ataques de correo electrónico activo-HTML como un cliente de correo electrónico habilitado para HTML en Windows o Unix. El Vulnerabilty variará del sistema al sistema basado en el email cliente en lugar del sistema operativo.

Cambiar a un cliente de correo electrónico no consciente de HTML no es una opción realista para mucha gente. Una alternativa es filtrar o alterar el código HTML o código de secuencias de comandos antes de que el cliente de correo electrónico tenga la oportunidad de procesarlo. Que puede también es posible configurar su cliente de correo electrónico para apagar el interpretación del código de script. Consulte la documentación del programa para más detalles. Desactivar la secuencia de comandos en su cliente de correo electrónico es fuertemente recomendado-no hay una buena razón para apoyar los mensajes de correo electrónico con secuencias de comandos.

Los usuarios de Microsoft Outlook deben visitar esta página que describe apretando hacia abajo Configuración de seguridad de Outlook.

Los gusanos de correo electrónico de Outlook, recientemente anunciados, son un ejemplo de este ataque. Ver la base de datos de vulnerabilidades bugtraq para más detalles.

Otra forma de defenderse de los ataques de contenido activo es destrozar la el scripting antes del programa de correo tiene la oportunidad de verlo. Esto se hace en servidor de correo en el momento en que se recibe y se almacena el mensaje en el buzón del usuario, y en su forma más simple consiste en simplemente cambiar todos los < script > Tags (por ejemplo) < desfanged-script > Tags, que hace que el programa de correo ignorarlos. Puesto que hay muchos lugares que los comandos de scripting pueden ser utilizado dentro de otras etiquetas, el proceso de desfanging es más complicado que esto en la práctica.


Ataques de desbordamiento de búfer

Un búfer es una región de memoria donde un programa almacena temporalmente los datos Procesamiento. Si esta región es de un tamaño fijo predefinido, y si el el programa no toma medidas para asegurar que los datos encajen en ese tamaño, hay un error: si se leen más datos de los que caben dentro del búfer, el el exceso seguirá siendo escrito, pero se extenderá más allá del final del búfer, probablemente reemplazando otros datos o instrucciones de programa.

Un búferel ataque de desbordamiento es un intento de utilizar esta debilidad enviando un cadena de datos inesperadamente larga para el proceso del programa. Por ejemplo, en el caso de un programa de correo electrónico, el atacante podría enviar un Fecha: encabezado que es de varios miles de caracteres de largo, en el suposición de que el programa de correo electrónico sólo espera una Fecha: encabezado que es a lo sumo 100 caracteres de largo y no comprueba la longitud de la datos que está ahorrando.

Estos ataques pueden usarse como ataques de denegación de servicio, porque cuando la memoria de un programa se sobrescribe aleatoriamente el programa generalmente Accidente. Sin embargo, al elaborar cuidadosamente el contenido exacto de lo que desborda el búfer, en algunos casos es posible suministrar instrucciones de programa para la computadora de la víctima para ejecutar sin el consentimiento de la víctima. El atacante es Enviar un programa a la víctima, y será administrado por el ordenador de la víctima sin pedirle permiso a la víctima.

Tenga en cuenta que este es el resultado de un error en el programa bajo ataque. Un el cliente de correo electrónico correctamente escrito no permitirá que extraños aleatorios ejecuta programas en tu ordenador sin tu consentimiento. Programas sujetos a los desbordamientos de búfer se escriben incorrectamente y deben ser parcheados permanentemente corregir el problema.

Los desbordamientos de búfer en los programas de correo se producen al controlar los encabezados de mensaje y cabeceras de conexión, que es la información que el cliente de correo electrónico necesita para procesar para conocer detalles sobre el mensaje y qué hacer con él. El texto en el cuerpo del mensaje, que se muestra simplemente en la pantalla y que se espera que sea una gran cantidad de texto, no se utiliza como el vehículo para los ataques de desbordamiento de búfer.

Los errores de desbordamiento recientemente anunciados en Outlook, Outlook Express y Netscape Mail son ejemplos de esto. Los parches para Outlook están disponibles mediante la seguridad de Microsoft sitio.

Los encabezados de mensaje y los encabezados de conexión pueden ser preprocesados por el correo servidor para limitar sus longitudes a valores seguros. Hacer esto les impedirá se utiliza para atacar al cliente de correo electrónico.

UNA variación en el ataque de desbordamiento de búfer es omitir información donde el programa está esperando para encontrar algunos. Por ejemplo, Microsoft Exchange reacciona mal cuando se le pide que procese los encabezados MIME Attachment que son explícitamente vacía-por ejemplo, filename = ". Este ataque sólo puede ser utilizado para denegar el servicio.


Ataques de caballo de Troya

Un troyano Caballo es un programa malicioso que se disfraza como algo benigno en un intento de conseguir un usuario incauto para ejecutarlo.

Estos ataques se utilizan habitualmente para infringir la seguridad al obtener un usuario de confianza para ejecutar un programa que otorgue acceso a un usuario que no sea de confianza (por ejemplo, instalación del acceso remoto puerta trasera software), o causar daños como intentar borrar todos los archivos en el disco duro de la víctima. Los caballos de Troya pueden actuar para robar información o recursos o implementar un ataque distribuido, como por ejemplo distribuyendo un programa que intenta robar contraseñas u otra información de seguridad, o puede ser un programa “auto-propagación ” que se envía por correo (un “Worm“) y también mailbombs un objetivo o borra los archivos (un gusano con una actitud:).

El gusano “te amo ” es un excelente ejemplo de un caballo de Troya ataque: una carta de amor aparentemente inofensivo era en realidad una auto-propagación Programa.

Para que este ataque tenga éxito la víctima debe tomar acción para ejecutar el programa que han recibido. El atacante puede utilizar varios “social Engineering “métodos para convencer a la víctima para que ejecute el programa; Para ejemplo, el programa puede ser disfrazado como una carta de amor o una lista de broma, con el nombre de archivo construido especialmente para aprovechar la propensión de Windows para ocultar información importante del usuario.

La mayoría de la gente sabe que la extensión . txt se usa para indicar que el contenido del archivo es sólo texto simple, en lugar de un programa, pero La configuración predeterminada de Windows es ocultar las extensiones de archivo de la usuario, por lo que en un directorio que lista un archivo llamado textfile. txt se aparecer como sólo “textfile” (para evitar confundir al usuario?).

Un atacante puede tomar ventaja de esta combinación de cosas enviando un archivo adjunto denominado “Attack. txt.exe“-Windows se ocultará de buena ayuda la extensión .exe , por lo que el archivo adjunto parece ser un archivo de texto llamado “Attack. txt” en lugar de un programa. Sin embargo, si el el usuario olvida que Windows está ocultando la extensión de nombre de archivo real y Haga doble clic en el archivo adjunto, Windows usará el nombre de archivo completo para decidir qué hacer, y Since .exe indica un programa ejecutable, Windows ejecuta el archivo adjunto. ¡Blam! Eres dueño.

Las combinaciones típicas de extensiones aparentemente benignas y peligrosamente ejecutables son:

  • xxx. TXT. vbs -un script ejecutable (Visual Basic Script) enmascarado como un archivo de texto
  • xxx. JPG. SCR -un programa ejecutable (protector de pantalla) enmascarado como archivo de imagen
  • xxx. MPG. dll -un programa ejecutable (biblioteca de vínculos dinámicos) enmascarado como una película

 

Este ataque se puede evitar simplemente por no ejecutar los programas que han sido recibido en el correo electrónico hasta que se han revisado, incluso si el programa parece ser inofensivo y sobre todo si viene de alguien que no conoces bien y confianza.

Hacer doble clic en adjuntos de correo electrónico es un hábito peligroso.

Hasta hace poco, simplemente diciendo “no haga doble clic en archivos adjuntos “fue suficiente para ser seguro. Desafortunadamente esto ya no es el caso.

Los errores en el cliente de correo electrónico o el diseño de programas deficientes pueden permitir el ataque mensaje para ejecutar automáticamente el archivo adjunto de Trojan Horse sin intervención del usuario, ya sea mediante el uso de HTML activo, scripting o vulnerabilidades de desbordamiento de búfer incluidas en el mismo mensaje que el caballo de Troya adjunto o una combinación de estos. Este es un escenario extremadamente peligroso y es actualmente “en el Wild “como una auto-propagación gusano de correo electrónico que no requiere intervención del usuario para que ocurra una infección. Que puede estar seguro de que este no será el único.

En un intento de evitar esto, los nombres de los archivos adjuntos ejecutables pueden de manera que el sistema operativo ya no cree que se ha son ejecutables (por ejemplo, cambiando “EXPLOIT. EXE ” to “EXPLOIT. DesFANGed-EXE “). Esto obligará al usuario a guardar y cambiar el nombre del archivo antes de que se pueda ejecutar (dándoles la oportunidad de pensar si se debe ejecutar, y dar su software antivirus una oportunidad de examinar el archivo adjunto antes de que se inicie en ejecución), y reduce la posibilidad de que otras vulnerabilidades en el mismo el mensaje será capaz de encontrar y ejecutar el programa caballo de Troya automáticamente (ya que el nombre ha sido cambiado).

Además, para los programas de caballo de Troya conocidos el formato de archivo adjunto se puede mutilado de tal manera que el cliente de correo electrónico ya no ve el archivo adjunto como un apego. Esto obligará al usuario a ponerse en contacto con el soporte técnico para recuperar el archivo adjunto, y le da al administrador del sistema la oportunidad de examinarlo.

Unmanging un accesorio destrozado es bastante sencillo para el administrador. En el manging el accesorio el original MIME el encabezado de conexión se desplaza hacia abajo y un encabezado de adjuntos de advertencia de ataque se inserta. No se borra ninguna información.

Aquí está una lista de los ejecutables de Trojan Horse recientes y documentos, recogidos de BUGTRAQ y Usenet advertencias y antivirus de grupos de noticias avisos de proveedores:

Anti_TeRRoRisM.exe
Hormigas [0-9] + SET.exe
Binladen_bra [SZ] Il.exe
Common.exe
Disk.exe
IBMls.exe
MWld.exe
MWrld.exe
MissWorld.exe
Rede.exe
Si.exe
UserConf.exe
WTC.exe
amateurs.exe
.exe
Anna.exe
Anniv. doc
anti_cih.exe
Antivirus.exe
aol4free.com
Asian.exe
atchim.exe
avp_updates.exe
Babilonia.exe
.exe
Black.exe
blancheneige.exe
Blonde.exe
Boys.exe
buhh.exe
Celebrity? violate.exe
Cheerleader.exe
chocolate.exe
compu_ma.exe
Creative.exe
.exe
cumshot.exe
perrito.exe
dwarf4you.exe
Emanuel.exe
Enanito? Fisgon.exe
enano.exe
enano?.exe
Famous.exe
puño-f? cking.exe
gay.exe
Girls.exe
happy99.exe
Happy [0-9] +.exe
Hardcore.exe
.exe
Hot.exe
Hot.exe
i-Watch-u.exe
ie0199.exe
images_zipped.exe
Jesus.exe
Joke.exe
Kinky.exe
Leather.exe
Lesbians.exe
List. doc
Lovers.exe
Matcher.exe
messy.exe
mundo.exe
mkcompat.exe
nakedwife.exe
Navidad.exe
oains.exe
oral.exe
.exe
path. xls
photos17.exe
Picture.exe
Pleasure.exe
Pretty Park.exe
bonito? Park.exe
PrettyPark.exe
qi_test.exe
Raquel? darian.exe
readme.exe
Romeo.exe
Sado.exe
Sample.exe
seicho_no_ie.exe
serialz. hlp
Setup.exe
sex.exe
sexy.exe
.exe
SM.exe
Sodoma.exe
sslpatch.exe
Story. doc
suck.exe
suppl. doc
¡Sorpresa!. Exe
Suzete.exe
Teens.exe
Virgins.exe
x-mas.exe
Xena.exe
Xuxa.exe
y2kcount.exe
Yahoo.exe
zipped_files.exe

Por supuesto, los autores de gusanos están ahora Wising y nombrando los archivos adjuntos aleatoriamente, lo que conduce a la conclusión de que todos . Los archivos EXE deben ser bloqueado.

Otro canal para los ataques de Trojan Horse es vía un archivo de datos para un programa que proporciona un lenguaje macro (de programación), por ejemplo, moderno procesadores de texto de alta potencia, hojas de cálculo y herramientas de base de datos de usuario.

Si no puede simplemente descartar los archivos adjuntos que pueden ponerlo en riesgo, es se recomienda instalar el software antivirus (que detecta y deshabilita caballos de Troya Macro-idioma) y que siempre se abre el archivo de datos los archivos adjuntos del “no se ejecutan automáticamente macros “modo (por ejemplo, manteniendo pulsada la tecla [SHIFT] al hacer doble clic en el archivo adjunto).

También: Si el administrador del sistema (o alguien que afirma ser su sistema Administrador) le envía un programa y le pide que lo ejecute, inmediatamente ser muy sospechoso y verificar el origen del correo electrónico poniéndose en contacto con su administrador directamente por algún medio que no sea el correo electrónico. Si recibe un archivo adjunto que afirma ser una actualización del sistema operativo o una herramienta antivirus, no lo ejecute. Los proveedores de sistemas operativos nunca entregan actualizaciones por correo electrónico, y las herramientas antivirus son fácilmente disponibles en el antivirus sitios web de proveedores.


Ataques de script de Shell

Muchos programas que se ejecutan bajo sistemas operativos UNIX y similares soportan el capacidad para incrustar scripts de Shell cortos (secuencias de comandos similares a batch archivos bajo DOS) en sus archivos de configuración. Esta es una forma común de permitir la extensión flexible de sus capacidades.

Algunos programas de procesamiento de correo incorrectamente amplían este soporte para Shell manda a los mensajes que están procesando. Generalmente esta la capacidad se incluye por error, llamando a un script de Shell tomado de la archivo de configuración para procesar el texto de algunos encabezados. Si la cabecera está especialmente formateado y contiene comandos de Shell, es posible que los los comandos de Shell también se ejecutarán. Esto puede ser prevenido por el programa que escanea el texto del encabezado para el formato y el cambio especiales que formatear antes de que se pasa a la Shell para el procesamiento posterior.

Dado que el formato necesario para incrustar un script de Shell en un encabezado de correo electrónico es bastante especial, es bastante fácil de detectar y de alterar.


Ataques de privacidad de Web Bug

Un mensaje de correo electrónico HTML puede referirse al contenido que no está en mensaje, al igual que una página web puede referirse al contenido que no el sitio web que aloja la página. Esto se puede ver comúnmente en anuncios de banner-a sitio web en http://www.geocities.com/ puede incluir un anuncio publicitario que se recupera de un servidor en http://ADS.example.com/ -cuando la página está renderizada, el navegador web automáticamente entra en contacto con el servidor Web en http://ADS.example.com/ y recupera la imagen de anuncio de banner. Esta recuperación de un archivo se registra en los registros del servidor en http://ADS.example.com/, dando el tiempo que se recuperó y el Dirección de red del equipo que recupera la imagen.

Aplicar esto al correo electrónico HTML implica poner una referencia de imagen en el cuerpo del mensaje de correo electrónico. Cuando el programa de correo recupera la imagen archivo como parte de mostrar el mensaje de correo al usuario, el Web Server registra la hora y la dirección de red de la solicitud. Si el la imagen tiene un nombre de archivo único, es posible determinar con precisión Qué mensaje de correo electrónico generó la solicitud. Típicamente la imagen es algo que no será visible para el destinatario del mensaje, por ejemplo una imagen que consta de sólo un píxel transparente, de ahí el término Web Bug -es, después de todo, la intención de ser “encubierta vigilancia. ”

También es posible utilizar una etiqueta de sonido de fondo para lograr el mismo resultado.

La mayoría de los clientes de correo no pueden configurarse para ignorar estas etiquetas, manera de evitar este espionaje es destrozar la imagen y la referencia de sonido etiquetas en el servidor de correo.


Leave a Reply

Your email address will not be published. Required fields are marked *