SMTP-Smuggling: SEC Consult Vulnerability Lab identifiziert gefährliche Schwachstelle im SMTP-Protokoll

Timo Longin, Senior Security Consultant, SEC Consult hat im Rahmen eines Forschungsprojekts gemeinsam mit dem SEC Consult Vulnerability Lab eine kritische Schwachstelle im SMTP-Protokoll entdeckt, die es ermöglicht gefälschte E-Mails zu schmuggeln. Insbesondere im Hinblick auf die bevorstehende Weihnachtszeit, in der Menschen vermehrt online einkaufen oder kommunizieren, bietet diese Schwachstelle Cyberkriminellen eine neue Dimension bei der gezielten Verbreitung von Phishing-E-Mails. Die als SMTP-Smuggling bezeichnete Schwachstelle nutzt Interpretationsunterschiede des SMTP-Protokolls zwischen verschiedenen SMTP-Servern aus und ermöglicht Angreifern, anfällige SMTP-Server weltweit zu missbrauchen, um bösartige E-Mails von willkürlichen E-Mail-Adressen zu senden.

SMTP-Smuggling betrifft Infrastrukturen bekannter Dienste, wie Microsoft Exchange Online und Ionos

Longin beschreibt eine Methode, um E-Mails von Exchange Online sowie Ionos E-Mail-Services zu schmuggeln, indem er eine spezielle Sequenz (<LF>.<CR><LF>) verwendet, die von den ausgehenden SMTP-Servern nicht gefiltert wird. Diese Sequenz kann von einigen eingehenden SMTP-Servern als End-of-Data-Sequenz interpretiert werden, was es ermöglicht, die Nachrichtendaten zu manipulieren und E-Mails von beliebigen Absendern zu versenden. Longin konnte demonstrieren, dass E-Mails von Millionen von Domänen geschmuggelt werden können, die Exchange Online oder Ionos verwenden. Darunter befinden sich ebenfalls die Domänen der Betreiber selbst (microsoft.com, gmx.net, web.de, etc.).

Weitere Ursache für SMTP-Smuggling: Fehlkonfiguration im Cisco Secure Email (Cloud) Gateway

GMX und Exchange Online haben Schwachstellen in ihren ausgehenden SMTP-Servern, die SMTP-Smuggling ermöglichen, weil sie bestimmte Sequenzen nicht ausreichend filtern. Longin stellte im weiteren Forschungsverlauf die Frage, ob ähnliche Schwächen auch bei eingehenden SMTP-Servern existieren, die weniger restriktive End-of-Data-Sequenzen zulassen könnten. Beim Scannen von Alexa Top 1000-Webseiten wurden verschiedene eingehende SMTP-Server identifiziert, die solche Sequenzen (<CR>.<CR>) akzeptieren. Auffallend dabei war, dass viele dieser Server Cisco Secure Email verwendeten, sowohl On-Premise als auch in der Cloud-basierten Version. In diesem Zusammenhang konnte Longin die Standardkonfiguration für „CR and LF Handling“ als Grund für das SMTP-Smuggling bei eingehenden Cisco Secure Email (Cloud) Gateways  identifizieren und geht davon aus, dass weltweit mehr als 40.000 Unternehmen betroffen sind, die diese Standardkonfiguration verwenden.

Offenlegung der Forschungserkenntnisse und Handlungsempfehlungen

SEC Consult bekennt sich zu seiner Vorreiterrolle in der Erkennung und Abwehr von Cyberbedrohungen und hat die Forschungsergebnisse zu SMTP-Smuggling umgehend mit den betroffenen Anbietern von E-Mail-Diensten geteilt: Als Reaktion darauf haben Microsoft und Ionos/GMX diese Schwachstellen in ihrer Infrastruktur rasch beseitigt. Besonders hervorzuheben ist, dass Timo Longin für diese Entdeckung in die Ruhmhalle des Bug Bounty von GMX aufgenommen wurde. „Die Forschungsarbeit von Timo Longin hat eine wichtige Sicherheitslücke im weit verbreiteten SMTP-Protokoll aufgedeckt und wir haben die betroffenen Unternehmen benachrichtigt. Sie haben schnell gehandelt und die Lücke geschlossen. Damit leistet SEC Consult erneut einen wichtigen Beitrag zur Erhöhung der Cybersecurity, vor allem in der Weihnachtszeit, wo vermehrt Phishing-Mails verschickt werden, die sich als harmlose Weihnachtsgrüße oder -angebote ausgeben“, fasst Johannes Greil, Leiter des SEC Consult Vulnerability Lab, die exzellente Arbeit seines Kollegen zusammen.

Im Gegensatz dazu sind Cisco Secure Email (Cloud) Gateways nach wie vor anfällig für Bedrohungen, da der Konfigurationsmodus in der Standardkonfiguration eine bewusste Funktionalität der Cisco Secure Email (Cloud) Gateways ist: Diese Funktion des Gateways ermöglicht es Administratoren, spezifische Anforderungen des Netzwerks und der Sicherheitspolitik zu berücksichtigen, was in einigen Anwendungsszenarios vorteilhaft sein kann. SEC Consult empfiehlt jedoch dringend, diese Konfigurationen auf den eigenen Anwendungsfall hin zu überprüfen und gegebenenfalls anzupassen, um potenzielle Sicherheitsrisiken zu minimieren. Eine Anleitung zur Konfiguration kann direkt bei Cisco abgerufen werden: Link