OpenDMARC: Aktiv ausgenutzte DMARC-Sicherheitslücke ohne Fix

Mitarbeiter von Protonmail haben in OpenDMARC eine Sicherheitslücke entdeckt, mit der sich die Signaturprüfung austricksen lässt. Angreifer haben die Lücke bereits für Phishingangriffe gegen Journalisten genutzt. OpenDMARC wird offenbar nicht weiterentwickelt und es gibt kein Update.

Artikel veröffentlicht am ,
Eine Sicherheitslücke in der Software OpenDMARC erlaubt das Fälschen von Mailabsendern.
Eine Sicherheitslücke in der Software OpenDMARC erlaubt das Fälschen von Mailabsendern. (Bild: Almanaque Lusofonista/Wikimedia Commons/CC-BY 3.0)

Bei einem Phishing-Angriff auf Journalisten des Investigativportals Bellingcat wurde eine Sicherheitslücke in der Software OpenDMARC ausgenutzt. DMARC ist ein Mechanismus, der das Fälschen von E-Mail-Absendern erschweren soll, OpenDMARC ist die am häufigsten genutzte Implementierung. Ein Update gibt es bislang nicht, die Software wird offenbar aktuell nicht aktiv weiterentwickelt.

Über den Phishingangriff auf Bellingcat hatte Ende Juli der E-Mail-Anbieter Protonmail berichtet. Protonmail schreibt dabei, dass die Ermittlung des Urhebers solcher Angriffe naturgemäß schwierig ist, verweist aber darauf, dass Bellingcat mehrfach wichtige Recherchen über russische Militär- und Geheimdienstaktivitäten veröffentlicht hat, etwa zum Abschuss des Flugzeugs MH17 über der Ukraine. Daher ist eine russische Urheberschaft der Angriffe zumindest denkbar.

Phishingangriff nutzte ungepatchtes Sicherheitsproblem in OpenDMARC

Im Blogpost von Protonmail ist erwähnt, dass die Angreifer versucht hatten, eine bislang ungepatchte Sicherheitslücke in einer Open-Source-Software auszunutzen, die von vielen E-Mail-Providern genutzt wird. Nach mehrfacher Nachfrage von Golem.de teilte Protonmail uns mit, dass es sich dabei um die Software OpenDMARC handelt. Ein Fix für die entsprechende Lücke wurde inzwischen als Pullrequest für das Github-Repository von OpenDMARC bereitgestellt.

Die Sicherheitslücke erlaubt es, die Absenderprüfung von DMARC auszutricksen. Wenn man im Absender der E-Mail mehrere Mailadressen angibt, wird nur die letzte geprüft. Wenn das Mailfrontend, mit dem man die Mail letztendlich anzeigt, nur die erste From-Adresse anzeigt oder die zweite Adresse vom Mailserver entfernt wird, kann man somit Mails mit gefälschten Absendern trotz DMARC verschicken.

Keine Reaktion der OpenDMARC-Entwickler

Eine Reaktion der Entwickler von OpenDMARC gibt es bislang nicht. Das letzte Release von OpenDMARC wurde 2017 veröffentlicht, seitdem gab es einige Commits im Entwickler-Branch auf Github, die letzten Aktivitäten waren im November 2018. Golem.de hat bei den Entwicklern nachgefragt, ob das Projekt noch aktiv weiterentwickelt wird, eine Antwort haben wir bislang nicht erhalten.

DMARC ist ein System, das auf den schon älteren Verfahren DKIM und SPF aufbaut und verhindern soll, dass E-Mails mit gefälschten Absendern verschickt werden. Dafür können beispielsweise via DNS DKIM-Signaturschlüssel bereitgestellt, mit denen die vom Mailserver signierte Mail geprüft werden kann. Anhand einer DMARC-Policy kann man auch festlegen, dass fehlerhaft oder nicht signierte Mails komplett abgelehnt werden. Das System kämpfte am Anfang mit Startschwierigkeiten, da es beispielsweise mit gängigen Mailinglisten nicht kompatibel war. Inzwischen wird es aber von mehreren großen Mailanbietern genutzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Madison Square Garden
Gesichtserkennungs-Software weist unliebsame Besucher ab

Im New Yorker Madison Square Garden kommt seit Jahren Gesichtserkennungs-Software zum Einsatz - mit unangenehmen Folgen für Kanzleimitarbeiter.

Madison Square Garden: Gesichtserkennungs-Software weist unliebsame Besucher ab
Artikel
  1. JPEG XL: Die Browserhersteller sagen nein zum Bildformat
    JPEG XL
    Die Browserhersteller sagen nein zum Bildformat

    JPEG XL ist das überlegene Bildformat. Aber Chrome und Firefox brechen die Implementierung ab. Wir erklären das Format und schauen auf die Gründe für die Ablehnung.
    Eine Analyse von Boris Mayer

  2. Plattform oder Dienst betreiben: Macht es wie die Maurer!
    Plattform oder Dienst betreiben
    Macht es wie die Maurer!

    Warum man die Operationalisierung einer Plattform nicht zu sehr aufblasen sollte, man durch Silodenken aber viel anfälliger für Ausfälle wird.
    Ein Ratgebertext von Felix Uelsmann

  3. Musk freigesprochen: Tweet Finanzierung gesichert war keine Kursmanipulation
    Musk freigesprochen
    Tweet "Finanzierung gesichert" war keine Kursmanipulation

    Elon Musk ist im Prozess wegen angeblich irreführender Tweets zu Tesla freigesprochen worden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Roccat Magma + Burst Pro 59€ • Roccat Vulcan 121 89,99€ • Gigabyte B650 Gaming X AX 185,99€ • Alternate: Toshiba MG10 20 TB 299€ • Alternate Weekend Sale • MindStar: Fastro MS200 SSD 2TB 95€ • Mindfactory DAMN-Deals: Grakas, CPUs & Co. • RAM-Tiefstpreise • PCGH Cyber Week [Werbung]
    •  /