安全研究员发现 MailSploit 漏洞,影响超过 30 个流行的 Email 客户端
2023-08-21 03:31:47
MailSploit是一系列影响超过30个流行邮件客户端的安全漏洞,攻击者可利用其绕过反欺诈系统伪造发件人地址,甚至进行代码注入攻击。
漏洞核心机制- 发件人地址伪造:MailSploit通过篡改邮件头部的“From”字段实现欺诈。攻击者利用漏洞绕过邮件传输代理(MTA)的检测机制(如DKIM/SPF、DMARC),使虚假邮件看似来自可信来源(如potus@whitehouse.gov)。
- 非ASCII字符编码漏洞:漏洞根源在于邮件客户端未正确处理RFC-1342标准编码的非ASCII字符。该标准允许在邮件头部编码非ASCII字符(如中文、表情符号),但客户端在解码后未对字符串进行净化处理,导致攻击者可插入恶意payload。
示例:通过编码非ASCII字符生成包含换行符(new lines)或空字节(null-byte)的payload,可隐藏或移除原始域名部分,使发件人地址显示为任意伪造值。
- 邮件客户端:
Apple Mail(macOS、iOS、watchOS)
Mozilla Thunderbird
Microsoft邮件客户端(多种版本)
Yahoo Mail、ProtonMail、Hushmail、Open Mailbox、Spark、Airmail、Mailbird等。
- 漏洞类型:
发件人欺诈:33个客户端均受影响,攻击者可伪造发件人地址。
XSS攻击:部分客户端(如Hushmail、Open Mailbox、Spark、Airmail)存在跨站脚本漏洞,攻击者可注入恶意脚本。
- 构造恶意邮件头部:
攻击者在“From”字段中插入RFC-1342编码的非ASCII字符,编码后内容包含控制字符(如换行符、空字节)。
邮件客户端解码后未处理这些字符,导致发件人地址被篡改(如显示为president@whitehouse.gov,实际域名被隐藏)。
- 绕过反欺诈系统:
DMARC/DKIM/SPF等机制依赖邮件头部的原始域名验证发件人真实性,但MailSploit通过控制字符破坏域名解析逻辑,使验证失效。
- 代码注入(XSS):
在邮件头部或正文中注入恶意脚本,当用户打开邮件时触发,可能窃取会话令牌或重定向至钓鱼网站。
- 已修复:8个客户端的开发团队在漏洞披露前完成修复(截至2017年12月5日)。
- 修复中:12个团队正在优先修复。
- 拒绝修复:
Mozilla和Opera认为MailSploit属于服务器端问题,未发布补丁。
Mailbird未回应漏洞报告。
- 未明确处理:剩余12个客户端的供应商已收到漏洞详情,但未表态是否修复。
- 研究人员:安全研究员Sabri Haddouche发现漏洞并建立专门网站公开细节。
- 披露时间:漏洞平台在公开前3至5个月联系所有供应商,确保其有足够时间修复。
- PoC演示:Haddouche使用美国总统官方邮箱地址(potus@whitehouse.gov)发布概念验证(PoC),证明攻击可行性。
- 用户层面:
谨慎对待来自“可信机构”的邮件,尤其是包含链接或附件的邮件。
启用邮件客户端的额外安全功能(如链接预览、附件扫描)。
- 企业层面:
部署邮件网关过滤可疑邮件头部。
强制使用多因素认证(MFA)降低账户被盗风险。
- 开发者层面:
对邮件头部的输入进行严格检测,禁止控制字符(如换行符、空字节)。
遵循RFC-1342标准时,确保解码后字符串的合法性。
- 严重性:高。发件人欺诈是钓鱼攻击的核心手段,MailSploit使攻击者几乎可伪造任意身份。
- 广泛性:覆盖主流邮件客户端,包括桌面端和移动端,用户基数庞大。
- 持久性:部分供应商拒绝修复或未回应,可能导致漏洞长期存在。
MailSploit暴露了邮件客户端在输入处理和反欺诈机制上的普遍缺陷,强调了标准化安全实践的重要性。
热门标签
