Cisco fishing

TECHNIQUES QUI PERMETTENT DE CONTOURNER LES E-MAILS DE PHISHING VIA CISCO

(Last Updated On: 13 décembre 2022)

Les techniques suivantes ont été rendues publiques par un chercheur qui souhaite rester anonyme. Ils peuvent être utilisés pour contourner  certains des filtres de l’appliance Secure Email Gateway de Cisco et propager des logiciels malveillants à l’aide d’e-mails rédigés avec soin. Le chercheur a reconnu avoir communiqué avec le fournisseur, mais a déclaré qu’il n’avait pas été en mesure d’obtenir une réponse appropriée en temps opportun. Il ne devrait y avoir aucun délai supplémentaire pour rendre les discussions publiques car la complexité de l’attaque est minime et les exploits ont déjà été divulgués par un tiers, a déclaré le chercheur.

“La tolérance aux erreurs et diverses capacités de décodage MIME des clients de messagerie” sont utilisées par les techniques de contournement. Le chercheur affirme qu’un attaquant peut contourner les entreprises protégées par Cisco Secure Email Gateway en utilisant l’une des trois techniques qui affectent les clients de messagerie, notamment Outlook, Thunderbird, Mutt, Vivaldi et autres.

PREMIÈRE APPROCHE : BASE MASQUÉE 64
————————————-

Guide étape par étape :

  1. Utilisez un client de messagerie conventionnel ou un encodage MIME standard, tel que l’encodage de transfert de contenu base64, pour créer un e-mail avec la pièce jointe malveillante.
  2. Pour que les lignes du bloc encodé en base64 varient en longueur tout en conservant ensemble des groupes de quatre lettres en base64 (encodant trois octets), insérez au hasard des sauts de ligne CR+LF. Cela vise à éviter les violations de la norme MIME tout en évitant les algorithmes simples qui peuvent identifier base64 même lorsqu’il n’est pas dans son contexte.
  3. Placez l’en-tête contradictoire “Content-Transfer-Encoding : quoted-printable” avant l’en-tête content-transfer-encoding de la pièce jointe. La norme MIME a été brisée ici.
  4. Si le message contient des en-têtes de longueur de contenu, supprimez-les.

Même si la pièce jointe contient des logiciels malveillants facilement reconnus, comme le virus de test Eicar, les e-mails envoyés de cette manière passeront par les passerelles concernées avec un jugement d’être exempt de logiciels malveillants. D’autre part, de nombreuses applications de messagerie bien connues affichent le fichier joint et le reproduisent avec précision après l’enregistrement.

 Sécurité

Systèmes impactés

Un fichier zip contenant le virus de test Eicar et les passerelles de messagerie sécurisée Cisco exécutant AsyncOS 14.2.0-620, 14.0.0-698 et d’autres versions ont été utilisés pour tester avec succès cette attaque. Microsoft Outlook pour Microsoft 365 MSO (version 2210 Build 16.0.15726.20070), Mozilla Thunderbird 91.11.0 (64 bits), Vivaldi 5.5.2805.42, Mutt 2.1.4-1ubuntu1.1 et d’autres clients de messagerie ont été parmi ceux qui ont été touchés .

2ÈME APPROCHE : ENCODAGE YENC
———————————-

Les clients Usenet utilisent fréquemment le codage connu sous le nom de yEncode, ou simplement yEnc. Certains clients de messagerie peuvent également décoder les composants MIME qui utilisent cet encodage. Si une victime utilise un certain client de messagerie, un attaquant distant qui utilise ce codage pour une pièce jointe malveillante peut réussir à fournir la charge utile à la victime tout en évitant la détection par les passerelles affectées.
Les autres clients de messagerie garderont la pièce jointe dans un état non décodé, la rendant inoffensive.

 Sécurité

Systèmes concernés :

Un fichier zip contenant le virus de test Eicar et les passerelles de messagerie sécurisée Cisco exécutant AsyncOS 14.2.0-620, 14.0.0-698 et d’autres versions ont été utilisés pour tester avec succès cette attaque. Le client de messagerie Mozilla Thunderbird 91.11.0 a été impacté (64 bits).

TROISIÈME APPROCHE: CLOAKEDQUOTES-IMPRIMABLE
—————————————————

Les rôles de quoted-printable et base64 ont été inversés dans cette technique, qui est comparable à la méthode 1. La charge utile doit être codée quoted-printable, mais chaque octet doit être codé plutôt que seulement les octets non imprimables, et chaque ligne doit inclure une suite. Les en-têtes en conflit sont maintenant présentés dans l’ordre base64-quoted-printable.

 Sécurité

Systèmes concernés :

Un fichier zip contenant le virus de test Eicar et les passerelles de messagerie sécurisée Cisco exécutant AsyncOS 14.2.0-620, 14.0.0-698 et d’autres versions ont été utilisés pour tester avec succès cette attaque. Vivaldi 5.5.2805.42 (64 bits) et Mutt 2.1.4-1ubuntu1.1 étaient les clients de messagerie concernés.

Le chercheur qui a révélé les techniques de contournement a mentionné une boîte à outils open source conçue pour créer des e-mails de test pour les solutions de sécurité afin de voir dans quelle mesure elles se défendent contre de telles attaques. Le chercheur a déclaré que si le correctif de Cisco résout les techniques utilisées par l’outil open source, il ne les bloque pas entièrement.

 Sécurité

Merci de votez pour cet article :
Votez : Pas malMoyenBienAcès bienExcélent (7 votes, average: 4,86 out of 5)
Loading...

Laisser un commentaire

Translate »