OpenDMARC: Aktiv ausgenutzte DMARC-Sicherheitslücke ohne Fix

Mitarbeiter von Protonmail haben in OpenDMARC eine Sicherheitslücke entdeckt, mit der sich die Signaturprüfung austricksen lässt. Angreifer haben die Lücke bereits für Phishingangriffe gegen Journalisten genutzt. OpenDMARC wird offenbar nicht weiterentwickelt und es gibt kein Update.

Artikel veröffentlicht am ,
Eine Sicherheitslücke in der Software OpenDMARC erlaubt das Fälschen von Mailabsendern.
Eine Sicherheitslücke in der Software OpenDMARC erlaubt das Fälschen von Mailabsendern. (Bild: Almanaque Lusofonista/Wikimedia Commons/CC-BY 3.0)

Bei einem Phishing-Angriff auf Journalisten des Investigativportals Bellingcat wurde eine Sicherheitslücke in der Software OpenDMARC ausgenutzt. DMARC ist ein Mechanismus, der das Fälschen von E-Mail-Absendern erschweren soll, OpenDMARC ist die am häufigsten genutzte Implementierung. Ein Update gibt es bislang nicht, die Software wird offenbar aktuell nicht aktiv weiterentwickelt.

Stellenmarkt
  1. Senior Software-Entwickler_in (w/m/d)
    Technische Universität Darmstadt, Darmstadt
  2. SAP Inhouse Consultant (m/w/d)
    LEICHT Küchen AG, Waldstetten
Detailsuche

Über den Phishingangriff auf Bellingcat hatte Ende Juli der E-Mail-Anbieter Protonmail berichtet. Protonmail schreibt dabei, dass die Ermittlung des Urhebers solcher Angriffe naturgemäß schwierig ist, verweist aber darauf, dass Bellingcat mehrfach wichtige Recherchen über russische Militär- und Geheimdienstaktivitäten veröffentlicht hat, etwa zum Abschuss des Flugzeugs MH17 über der Ukraine. Daher ist eine russische Urheberschaft der Angriffe zumindest denkbar.

Phishingangriff nutzte ungepatchtes Sicherheitsproblem in OpenDMARC

Im Blogpost von Protonmail ist erwähnt, dass die Angreifer versucht hatten, eine bislang ungepatchte Sicherheitslücke in einer Open-Source-Software auszunutzen, die von vielen E-Mail-Providern genutzt wird. Nach mehrfacher Nachfrage von Golem.de teilte Protonmail uns mit, dass es sich dabei um die Software OpenDMARC handelt. Ein Fix für die entsprechende Lücke wurde inzwischen als Pullrequest für das Github-Repository von OpenDMARC bereitgestellt.

Die Sicherheitslücke erlaubt es, die Absenderprüfung von DMARC auszutricksen. Wenn man im Absender der E-Mail mehrere Mailadressen angibt, wird nur die letzte geprüft. Wenn das Mailfrontend, mit dem man die Mail letztendlich anzeigt, nur die erste From-Adresse anzeigt oder die zweite Adresse vom Mailserver entfernt wird, kann man somit Mails mit gefälschten Absendern trotz DMARC verschicken.

Keine Reaktion der OpenDMARC-Entwickler

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Eine Reaktion der Entwickler von OpenDMARC gibt es bislang nicht. Das letzte Release von OpenDMARC wurde 2017 veröffentlicht, seitdem gab es einige Commits im Entwickler-Branch auf Github, die letzten Aktivitäten waren im November 2018. Golem.de hat bei den Entwicklern nachgefragt, ob das Projekt noch aktiv weiterentwickelt wird, eine Antwort haben wir bislang nicht erhalten.

DMARC ist ein System, das auf den schon älteren Verfahren DKIM und SPF aufbaut und verhindern soll, dass E-Mails mit gefälschten Absendern verschickt werden. Dafür können beispielsweise via DNS DKIM-Signaturschlüssel bereitgestellt, mit denen die vom Mailserver signierte Mail geprüft werden kann. Anhand einer DMARC-Policy kann man auch festlegen, dass fehlerhaft oder nicht signierte Mails komplett abgelehnt werden. Das System kämpfte am Anfang mit Startschwierigkeiten, da es beispielsweise mit gängigen Mailinglisten nicht kompatibel war. Inzwischen wird es aber von mehreren großen Mailanbietern genutzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Neues Betriebssystem von Microsoft
Wir probieren Windows 11 aus

Windows 11 ist bereits im Umlauf. Wir haben die Vorabversion ausprobiert und ein schickes OS durchstöbert. Im Kern ist es aber Windows 10.
Ein Hands-on von Oliver Nickel

Neues Betriebssystem von Microsoft: Wir probieren Windows 11 aus
Artikel
  1. Niedrige Inzidenzen: Homeoffice-Pflicht soll am 30. Juni enden
    Niedrige Inzidenzen
    Homeoffice-Pflicht soll am 30. Juni enden

    Die allgemeine Pflicht zum Homeoffice soll Ende des Monats fallen. Coronatests sollen aber weiterhin in Betrieben angeboten werden.

  2. Nach Juni 2022: Europäische Union will freies Roaming verlängern
    Nach Juni 2022
    Europäische Union will freies Roaming verlängern

    Die Regelung vom Juni 2017 soll verlängert und verbessert werden. Ein Ende von 'Roam like at home' wäre undenkbar.

  3. Websicherheit: Wie KenFM von Anonymous gehackt wurde
    Websicherheit
    Wie KenFM von Anonymous gehackt wurde

    Die Webseite AnonLeaks berichtet, wie das Defacement von KenFM ablief: durch abrufbare Backupdaten und das Wordpress-Plugin Duplicator Pro.
    Von Hanno Böck

RipClaw 11. Sep 2019

Rspamd nutzt nicht OpenDMARC aber ich weiß nicht ob nicht vielleicht auch das gleiche...

spagettimonster 11. Sep 2019

Der Link zum Fix steht im Artikel, wirklich Tief einsteigen braucht man dafür nun nicht...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense Midnight Black + Ratchet & Clank Rift Apart 99,99€ • Saturn Super Sale (u. a. Samsung 65" QLED (2021) 1.294€) • MSI 27" FHD 144Hz 269€ • Razer Naga Pro Gaming-Maus 119,99€ • Apple iPad Pro 12,9" 256GB 909€ [Werbung]
    •  /