OpenDMARC: Aktiv ausgenutzte DMARC-Sicherheitslücke ohne Fix
Mitarbeiter von Protonmail haben in OpenDMARC eine Sicherheitslücke entdeckt, mit der sich die Signaturprüfung austricksen lässt. Angreifer haben die Lücke bereits für Phishingangriffe gegen Journalisten genutzt. OpenDMARC wird offenbar nicht weiterentwickelt und es gibt kein Update.

Bei einem Phishing-Angriff auf Journalisten des Investigativportals Bellingcat wurde eine Sicherheitslücke in der Software OpenDMARC ausgenutzt. DMARC ist ein Mechanismus, der das Fälschen von E-Mail-Absendern erschweren soll, OpenDMARC ist die am häufigsten genutzte Implementierung. Ein Update gibt es bislang nicht, die Software wird offenbar aktuell nicht aktiv weiterentwickelt.
Über den Phishingangriff auf Bellingcat hatte Ende Juli der E-Mail-Anbieter Protonmail berichtet. Protonmail schreibt dabei, dass die Ermittlung des Urhebers solcher Angriffe naturgemäß schwierig ist, verweist aber darauf, dass Bellingcat mehrfach wichtige Recherchen über russische Militär- und Geheimdienstaktivitäten veröffentlicht hat, etwa zum Abschuss des Flugzeugs MH17 über der Ukraine. Daher ist eine russische Urheberschaft der Angriffe zumindest denkbar.
Phishingangriff nutzte ungepatchtes Sicherheitsproblem in OpenDMARC
Im Blogpost von Protonmail ist erwähnt, dass die Angreifer versucht hatten, eine bislang ungepatchte Sicherheitslücke in einer Open-Source-Software auszunutzen, die von vielen E-Mail-Providern genutzt wird. Nach mehrfacher Nachfrage von Golem.de teilte Protonmail uns mit, dass es sich dabei um die Software OpenDMARC handelt. Ein Fix für die entsprechende Lücke wurde inzwischen als Pullrequest für das Github-Repository von OpenDMARC bereitgestellt.
Die Sicherheitslücke erlaubt es, die Absenderprüfung von DMARC auszutricksen. Wenn man im Absender der E-Mail mehrere Mailadressen angibt, wird nur die letzte geprüft. Wenn das Mailfrontend, mit dem man die Mail letztendlich anzeigt, nur die erste From-Adresse anzeigt oder die zweite Adresse vom Mailserver entfernt wird, kann man somit Mails mit gefälschten Absendern trotz DMARC verschicken.
Keine Reaktion der OpenDMARC-Entwickler
Eine Reaktion der Entwickler von OpenDMARC gibt es bislang nicht. Das letzte Release von OpenDMARC wurde 2017 veröffentlicht, seitdem gab es einige Commits im Entwickler-Branch auf Github, die letzten Aktivitäten waren im November 2018. Golem.de hat bei den Entwicklern nachgefragt, ob das Projekt noch aktiv weiterentwickelt wird, eine Antwort haben wir bislang nicht erhalten.
DMARC ist ein System, das auf den schon älteren Verfahren DKIM und SPF aufbaut und verhindern soll, dass E-Mails mit gefälschten Absendern verschickt werden. Dafür können beispielsweise via DNS DKIM-Signaturschlüssel bereitgestellt, mit denen die vom Mailserver signierte Mail geprüft werden kann. Anhand einer DMARC-Policy kann man auch festlegen, dass fehlerhaft oder nicht signierte Mails komplett abgelehnt werden. Das System kämpfte am Anfang mit Startschwierigkeiten, da es beispielsweise mit gängigen Mailinglisten nicht kompatibel war. Inzwischen wird es aber von mehreren großen Mailanbietern genutzt.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Rspamd nutzt nicht OpenDMARC aber ich weiß nicht ob nicht vielleicht auch das gleiche...
Der Link zum Fix steht im Artikel, wirklich Tief einsteigen braucht man dafür nun nicht...