Rischio di routing della posta elettronica dannosa tramite l'infrastruttura di posta elettronica interna

5

Questa è stata una mia domanda di vecchia data e non sono stato in grado di trovare una risposta soddisfacente, quindi spero che qualcuno qui possa darmi una mano.

La mia domanda è: immagina che una email venga instradata verso Internet utilizzando l'infrastruttura di posta elettronica interna di un'organizzazione (Microsoft Exchange, ecc.). Se questa e-mail contiene un allegato malevolo o uno script dannoso incorporato nel corpo dell'email, presumo che il rischio di compromissione sia solo per il destinatario e non per l'infrastruttura di posta elettronica stessa?

Le discussioni con i colleghi portano sempre a dire che dobbiamo presumere che ci sia un rischio per l'infrastruttura di posta elettronica, ma nessuno sembra essere in grado di articolare quale sia il rischio e in che modo un compromesso dell'infrastruttura di posta elettronica è possibile.

Qualcuno può aiutarmi a venire qui?

    
posta kaidranzer 18.08.2016 - 10:47
fonte

3 risposte

4

Dipende se la posta viene solo instradata (cioè MTA semplice) o se verrà eseguito qualsiasi tipo di analisi approfondita (firewall, IPS, BDS ...). Nel primo caso probabilmente non c'è molto rischio. Ma nell'ultimo caso è possibile che il malware venga estratto e analizzato da alcuni middleware. Tale analisi è un problema complesso e spesso contiene bug. Nel peggiore dei casi il sistema di analisi stesso potrebbe essere compromesso in questo modo.

Questo non è un attacco ipotetico. Tali attacchi sono avvenuti contro FireEye BDS dove il monitoraggio passivo del traffico effettuato dal BDS potrebbe essere trasformato in un exploit. E un altro problema simile esisteva con Symantec Endpoint Protection incluso Symantec Email Security. E probabilmente anche altri ne sono influenzati.

    
risposta data 18.08.2016 - 11:39
fonte
3

Questo argomento è altamente giustificato, ma ogni volta che si dispone di un sistema collegato a Internet che elabora i dati dai client, esiste il rischio di una vulnerabilità nel codice utilizzato per elaborare questi dati.

Quando si tratta dell'infrastruttura di posta elettronica, questa vulnerabilità si trova in una parte del software serveride o nelle soluzioni anti-spam / virus. Questo è particolarmente importante perché questo software ha in ogni caso almeno privilegi amministrativi se non di sistema. C'era in realtà una vulnerabilità nelle soluzioni AV / Antispam di symantec che potrebbe essere attivato semplicemente inviando una mail. Se si dispone di una tale soluzione installata sul proprio server di posta, potrebbe essere infettata semplicemente passando una mail durante la scansione.

    
risposta data 18.08.2016 - 10:59
fonte
1

La moderna "infrastruttura di posta" svolge molte più attività rispetto alla semplice trasmissione di dati passivi, quindi potrebbe diventare un bersaglio per l'autore dell'attacco stesso.

In particolare, questo:

  • memorizza i dati, spesso in strutture complesse
  • indicizza i dati
  • controlla i dati
  • attiva le regole automatizzate in base ai dati

Queste azioni implicano l'elaborazione dei dati e in effetti aprono la possibilità di sfruttare il sistema.

Dato che le funzioni di questi sistemi sono ben definite e limitate rispetto a un PC, e data la mancanza di interazione dell'utente, le possibilità di violazione sono piccole ma non pari a zero.

Sebbene la maggior parte di esso dovrebbe essere una preoccupazione per gli sviluppatori, la nozione di rischio per l'infrastruttura di posta elettronica, cioè che il server mall potrebbe venire compromesso, dovrebbe incoraggiare l'amministrazione ad implementare pratiche di sicurezza come l'isolamento dei server e il monitoraggio appropriato.

Affrontare l'incertezza fa parte della sicurezza e, ad esempio, se si guarda la descrizione di una delle vulnerabilità di Microsoft Exchange ( CVE-2013-0418 ) non richiede di essere" specificato "e" noto "per essere considerato una minaccia:

Unspecified vulnerability in the Oracle Outside In Technology component in Oracle Fusion Middleware 8.3.7 and 8.4 allows context-dependent attackers to affect availability via unknown vectors related to (...)

    
risposta data 18.08.2016 - 11:09
fonte

Leggi altre domande sui tag