Xakep #305. Многошаговые SQL-инъекции
Независимый турецкий исследователь Ютку Сен (Utku Sen) известен благодаря тому, что в конце 2015 года он создал и опубликовал в открытом доступе опенсорсных шифровальщиков Hidden Tear и EDA2. Но на этот раз проблема, обнаруженная Сеном, не связана с вымогательским ПО. Исследователь тестировал работу спам-фильтров Outlook 365, Gmail и «Яндекс», используя инструмент Social Engineering Email Sender (SEES). В какой-то момент Сен заметил, что после DomainKeys Identified Mail (DKIM) «Яндекс» пометил некоторые из его фишинговых посланий как легитимные, отметив их специальной зеленой иконкой.
Оказалось, что такие пометки получили письма, замаскированные под сообщения, отправленные с адресов microsoft.com, и все они были перенаправлены на «Яндекс» через Outlook 365. Заинтересовавшись данной особенностью, исследователь обнаружил, что и Gmail так же воспринимает такие послания как легитимные, однако метод срабатывает только в том случае, когда сообщения якобы исходят с адресов microsoft.com, послания с других доменов неизменно оказывались в папке «Спам».
Самостоятельно понять, в чем проблема, Сен не сумел. Ему помог один из пользователей Reddit, известный как ptmb. Он выдвинул теорию, что Outlook, очевидно, подписывает пересылаемые сообщения собственным DKIM-ключом.
«Вы просто получаете доказательство подлинности не от оригинального отправителя, а от того, кто переслал письмо. Так как Outlook слепо подписывает все пересылаемые сообщения, письма, которые якобы были отправлены с адресов вида чтонибудь@microsoft.com, по случайному стечению обстоятельств получают подлинную DKIM-подпись Microsoft, хотя оригинальное послание было совсем не от Microsoft», — объясняет ptmb.
Сен уведомил Microsoft и «Яндекс» о своей находке еще в сентябре 2016 года. В Microsoft подтвердили, что такая проблема действительно есть и представили исправление в конце октябре. Также зеленая иконка, которую по ошибке получали фишинговые послания, пропала и из «Яндекса», однако Сен не уверен, что это связано с его обращением.
