Оглашены детали простейшей атаки на ПО Office 365, использующей ошибку удостоверения подлинности домена-отправителя Microsoft.com. Уязвимость в процедуре валидации обнаружил турецкий ИБ-исследователь Утку Сен (Utku Sen); патч для нее Microsoft включила в ноябрьский набор обновлений.

По свидетельству Сена, в наличии бреши повинен валидатор цифровых подписей DKIM, используемый почтовым сервисом Outlook из набора Office 365 Web Service. Наличие этой уязвимости позволяет использовать функцию переадресации почты для легитимизации спама, якобы отправленного из домена Microsoft.com.

Для тестирования Сен использовал специальный инструмент SEES (Social Engineering Email Sender), который позволяет подставлять в поле отправителя письма произвольный адрес, будь то MickeyMouse[@]Disney.com, SatyaNadella[@]Microsoft.com или AccountServices[@]Microsoft.com. Большинство почтовых веб-сервисов, в том числе Yandex, Google и Yahoo, обычно идентифицируют подделки, сфабрикованные автоматизированными средствами, и сразу отправляют их в папку «Спам». Так оно и получилось с пробным письмом с фальшивым обратным адресом @microsoft.com, которое исследователь отослал на свои адреса Office 365, Gmail и Yandex.

Однако в настройках клиента Outlook 365 у Сена была задана автоматическая пересылка писем на адрес другой почты, Yandex, и поддельное сообщение, отосланное на Outlook 365, было успешно доставлено на этот ящик. При этом против адреса отправителя стоял зеленый значок сертификата, означавший, что проверка на аутентичность прошла успешно. Согласно пояснению на сайте Yandex.ru, «с помощью DKIM-подписи получатель письма может удостовериться в том, что оно действительно пришло от предполагаемого отправителя».

utku-sen-spoofed-email

Пытаясь найти объяснение этому феномену, Сен предположил, что все дело в домене Microsoft, используемом его клиентом Outlook 365 для создания цифровой подписи (в данном случае onmicrosoft.com). Ведь письма с поддельным обратным адресом обычно отфильтровываются на стороне получателя потому, что не проходят проверку из-за отсутствия валидной подписи. Следовательно, обнаруженная проблема возникает при обработке клиентским приложением переадресованных писем, якобы отправленных из домена Microsoft.com.

Опубликованное Сеном техническое описание уязвимости было обновлено, когда один из пользователей Reddit предложил более убедительное объяснение причин ее возникновения. «Outlook слепо подписывает все сообщения, которые перенаправляет, поэтому после автоматической переадресации сообщение с фальшивым полем «From:», в котором указан некто @microsoft.com, получает подлинную подпись DKIM, по случайному стечению обстоятельств от Microsoft, причем даже в том случае, если оригинальное письмо отослала вовсе не Microsoft», — цитирует Сен запись на Reddit.

Примечательно, что попытки Сена провести PoC-атаку против служб переадресации Gmail и Yandex не увенчались успехом. Уязвимость работала лишь при использовании Outlook 365, подтверждение тому — установка переадресации на Gmail, которая позволила Сену без проблем получить положительный результат. При этом замена Microsoft.com другим отправителем в поддельном письме привела к срабатыванию спам-фильтра и на Outlook, и на Yandex.

Со слов исследователя, он уведомил Microsoft о проблеме еще в сентябре. В конце октября разработчик сообщил ему, что патч готов. В начале текущего месяца в публичном списке ИБ-исследователей, помогающих Microsoft улучшать качество онлайн-сервиса, появилось имя Утку Сена. «Яндекс», по свидетельству Сена, вскоре после получения уведомления отключил функцию отображения зеленого сертификата.

Категории: Кибероборона, Спам, Уязвимости