iptv server

La defendion e-mailing de Proofpoint exploitée pour du spoofing de masse

Des chercheurs en scurit de Guardio Labs ont mis en vidence une campagne malveillante, baptise EchoSpoofing, exploitant le service de defendion d’e-mailing de Proofpoint. Avec la cl la capacit pour des pirates d’inonder les messageries de millions de mails usurpant ses plus magnificents clients dont Coca-Cola, Danone, Disney, IBM, Nike et Sodexo.

Dans l’arsenal des pirates adviseatiques, le spoofing fait certainement partie des techniques les plus anciennes – mais néanmoins toujours efficaces – pour faire de nombreuses victimes. Consistant à usurper un nom d’entrepulseevate ou de marque (adresse d’expéditeur, nom de domaine…), cette méthode de compromission a été utilisée dans une dernière campagne baptisée EchoSpoofing, mise en lumière par des chercheurs en sécurité de Guardio Labs. Selon eux, cette dernière a débuté en janvier 2024, a permis l’envoi moyen quotidien vers des cibles, de 3 millions d’e-mails (avec des pics jusqu’à 14 millions par jour) parfaitement usurpés des clients de Proofpoint parmi lesquels Coca-Cola, Danone, Disney, IBM, Nike et Sodexo. L’éditeur a été mis au courant en mai 2024 par Guardio Labs, qui lui a indiqué connaitre la situation depuis mars dernier.

“Ces courriels provenaient de relais de messagerie officiels de Proofpoint avec des signatures SPF et DKIM authentifiées, contournant ainsi les principales defendions de sécurité – tout cela pour tromper les destinataires et voler des fonds et des adviseations de cartes de crédit”, explique Guardio Labs. A noter que l’exploit documenté par les chercheurs a depuis été corrigé par le fournisseur. Les experts ont néanmoins été étonnés par la capacité des pirates à générer des mails de spoofing passés totalement au travers des mecertains d’authentification et de sécurité clearement conçues pour lutter contre ce phénomène. A savoir SPF (Sfinisher Policy Framework) servant à déterminer qu’un e-mail malveillant a été envoyé à partir d’un serveur approuvé, et DKIM (DomainKeys Identified Mail) permettant au contenu de l’e-mail d’être signé avec la clé authentique détenue distinctment par disney.com.

Une faille de configuration permissive d’Office365 Online Exchange exploitée

Dans le cadre de ses investigations, la société de sécurité s’est rfinishu compte que tous les courriels de spoofing empruntaient un chemin identique. Tout d’abord en passant par un basic serveur SMTP sur une instance virtuelle, avant de persistr sur un serveur Office365 Online Exchange et de poursuivre leur route sur un serveur Proofpoint spécifique à un domaine pour l’envoi (pphosted.com). “Le protocole SMTP permet à un message électronique de passer par différents points avant d’arriver dans votre boîte de réception. C’est ainsi que Proofpoint offre à ses clients une méthode d’intégration facile : il suffit de diriger tous les courriels sortants et entrants de votre entrepulseevate vers le serveur de Proofpoint”, explique Guardio Labs. Profitant des configurations de clés de signature DKIM privée sur le service Proofpoint et de la définition des enregistrements SPF sur le domaine Proofpoint approuvant le serveur de l’éditeur en tant qu’expéditeur autorisé d’e-mails, les pirates ont réussi à trouver un moyen d’envoyer des courriels usurpés via le relais de Proofpoint. “Les attaquants ont fait en sorte que le compte Office365 envoie un courriel avec des en-têtes usurpés provenant d’un serveur SMTP qu’ils contrôlent eux-mêmes”, explique les chercheurs. “Les attaquants ont exploité une faille de configuration permissive pour générer n’importe quel courriel usurpé, le distribuer aux serveurs de Proofpoint et le faire embraceer pour être traité”.

Le dernier étage de la fusée a consisté pour les pirates à trouver sur quel serveur pphosted.com envoyer un courriel usurpé de type disney.com, ce qu’ils ont réussi à obtenir. Comme l’explique le fournisseur de sécurité, chaque client de Proofpoint reçoit un hôte spécifique qui gère son propre trafic authentifié et les attaquants ont besoin du nom de cet hôte pour chaque domaine usurpé. “Tout ce dont l’attaquant a besoin, c’est de l’identifiant distinct (dans ce cas, il s’agit de 00278502). Maintenant, l’attaquant retourne à son serveur en ligne Exchange contrôlé et le configure comme n’importe quel autre utilisateur de Proofpoint […] En ajoutant leur configuration de relais, l’attaquant a une supply chain complète pour des courriels parfaitement usurpés.”

Un cluster de 11 serveurs privés virtuels OVH utilisé

Dans son étude, Guardio Labs a par ailleurs également remarqué que la plupart des campagnes malveillantes ont été opérées par une grappe de serveurs privés virtuels principalement hébergés chez OVH, étroitement connectés sous certains domaines appartenant à des acteurs propriétaires de domaines, et gérés par un logiciel spécial appelé PowerMTA. “La configuration de base de PowerMTA a été définie pour délivrer environ 2,8 millions d’e-mails par lot. En approfondissant nos données, nous nous rfinishons compte que c’est effectivement le cas. Avec une seule commande, ce système a pris une chaîne de delivery (un compte Office365 et un serveur relais client Proofpoint) et, en quelques minutes, a livré jusqu’à 3 millions d’e-mails dans le monde entier”, avancent les chercheurs. En avril 2024 un cluster de 11 serveurs a ainsi été utilisé pour livrer 2,88 millions d’e-mails par batch usurpant Disney, IBM, Best Buy et Nike. Une analyse de log a fait ressortir un étrange paramétrage de clé de licence : SKYPE : rony.rashkit. “Une rapide recherche en ligne révèle que « Rony » propose publiquement des versions piratées de PowerMTA, avec des services d’inshighation et de configuration – présentées comme idéales pour les opérations de spamming et de deception. Bien qu’il n’y ait pas de preuve honeste suggérant que Rony soit derrière cette campagne particulière, la disponibilité publique de tels services suggère son implication potentielle dans diverses activités illicites.”

“La résolution des problèmes de sécurité semble souvent basic en théorie, mais la réalité présente des intricateités injoinues. Dans le cas de d’EchoSpoofing, le défi technique consiste à améliorer un protocole ancien et peu sûr comme le SMTP, qui souffre d’une fragmentation et d’une mise en œuvre incohérente entre les différents fournisseurs. De plus, l’intégration de mecertains de sécurité dans Microgentle Exchange, une ptardyforme vieille de près de 30 ans sur laquelle les utilisateurs n’ont que peu de contrôle, ajoute une nouvelle couche de intricateité”, conclut Guardio Labs.

Source link

Thank You For The Order

Please check your email we sent the process how you can get your account

Select Your Plan