Seorang peneliti keamanan telah menemukan kumpulan kerentanan di lebih dari 30 aplikasi klien email populer yang memungkinkan seseorang mengirim email palsu melalui mekanisme anti-spoofing.
Ditemukan oleh peneliti keamanan Sabri Haddouche, kumpulan kerentanan, yang disebut MailSploit, mempengaruhi Apple Mail (macos, iOS, dan watchOS), Mozilla Thunderbird, beberapa klien email Microsoft, Yahoo Mail, ProtonMail, dan lainnya.
Meskipun sebagian besar aplikasi klien email yang terkena dampak ini telah menerapkan mekanisme anti-spoofing, seperti DKIM dan DMARC, MailSploit mengambil keuntungan dari cara klien email dan antarmuka web mengurai header ‘From‘.
Email spoofing adalah teknik old-school, namun bekerja dengan baik, memungkinkan seseorang memodifikasi header email dan mengirim email dengan alamat pengirim yang dipalsukan untuk mengelabui penerima agar percaya bahwa mereka menerima email dari orang tertentu.
https://youtu.be/hwjUROtXV5I
Dalam situs yang didedikasikan untuk hal ini, Haddouche menjelaskan bagaimana kurangnya sanitasi masukan yang diterapkan oleh klien email yang rentan dapat menyebabkan serangan spoofing email – tanpa benar-benar memanfaatkan kerentanan di DMARC.
Untuk mendemonstrasikan serangan ini, Haddouche menciptakan muatan dengan mengkodekan karakter non-ASCII ke dalam header email, dan berhasil mengirim email palsu dari alamat resmi milik Presiden Amerika Serikat.
“Dengan menggunakan kombinasi karakter kontrol seperti baris baru atau null-byte, ini bisa mengakibatkan menyembunyikan atau menghapus bagian domain dari email asli,” kata Haddouche di posting blognya.
“Kita telah melihat banyak malware menyebar melalui email, dengan mengandalkan teknik social engineering untuk meyakinkan pengguna agar membuka lampiran yang tidak aman, atau mengklik tautan phishing. Munculnya ransomware yang didistribusikan melalui email dengan jelas menunjukkan efektivitas mekanisme tersebut.”
Selain spoofing, peneliti menemukan beberapa klien email, termasuk Hushmail, Open Mailbox, Spark, dan Airmail, juga rentan terhadap kerentanan cross-site scripting (XSS), yang berasal dari isu spoofing email.
Haddouche melaporkan bug spoofing ini ke 33 aplikasi klien yang berbeda, 8 di antaranya telah memperbaiki masalah ini di produk mereka sebelum pengungkapan publik dan 12 lainnya sedang dalam proses untuk memperbaikinya.
Di sini kamu dapat menemukan daftar semua klien email dan web yang rentan terhadap serangan MailSploit.
Namun katanya, Mozilla dan Opera menganggap bug ini sebagai masalah sisi server dan tidak akan merilis patch apapun. Mailbird menutup tiket tanpa menanggapi masalah tersebut, sementara 12 vendor lainnya belum memberikan komentar atas laporan peneliti tersebut.
