Zugangsdaten stehlen mit Command Injection

Diese Command Injection ermöglicht es Angreifern bei den Protokollen SMTP und IMAP, Zugangsdaten von Nutzern zu stehlen. Dafür müssen Angreifer dafür sorgen, dass mittels eingeschleuster Kommandos eine E-Mail verfasst (SMTP) oder gespeichert wird. Der Client sendet anschließend seine Zugangsdaten und diese werden in der E-Mail abgelegt. Angreifer können später dann auf diese Daten zugreifen.

Stellenmarkt
  1. Leiter (m/w/d) Software Architektur
    Scheidt & Bachmann Fare Collection Systems GmbH, Mönchengladbach
  2. Softwareentwickler Embedded Java (m/w/d)
    VIVAVIS AG, Ettlingen, Homeoffice
Detailsuche

Nach der Entdeckung dieser Lücke 2011 stellte sich heraus, dass neben Postfix viele weitere Mailserver davon betroffen waren. Doch offenbar hat dies seither niemand systematisch untersucht. Bei unseren Recherchen fanden wir heraus, dass zahlreiche Mailserver nach wie vor für diese Lücke anfällig waren. Betroffen waren unter anderem die Server von GMX, das SMTP-Modul von Dovecot und ein besonders in China häufig genutzter Mailserver namens Coremail.

Ähnliche Lücke betrifft auch Clients

Weiterhin stellte sich heraus, dass viele Mail-Clients für eine ganz ähnliche Lücke verwundbar waren. Ein Server oder ein Netzwerkangreifer kann mit der Bestätigung für das STARTTLS-Kommando weitere Daten mitschicken, die von Clients so interpretiert werden, als wären sie Teil der verschlüsselten Verbindung.

Mit dieser Lücke lassen sich zwar nicht direkt Zugangsdaten stehlen, man kann aber beispielsweise einem Nutzer falsche Inhalte in der Mailbox anzeigen lassen. Dieses Problem betraf zahlreiche bekannte E-Mailprogramme, darunter Apple Mail, Mozilla Thunderbird und manche Versionen des Gmail-Clients.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe
Golem Akademie
  1. OpenShift Installation & Administration
    31. Januar-2. Februar 2022, online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. Elastic Stack Fundamentals - Elasticsearch, Logstash, Kibana, Beats
    26.-28. Oktober 2021, online
Weitere IT-Trainings

Was an diesen beiden Lücken bemerkenswert ist: Hier haben Programmierer offenbar in unzähligen Fällen völlig unabhängig voneinander denselben Fehler gemacht. Ein solches Muster, bei dem dieselbe Sicherheitslücke immer wieder auftritt und zunächst fast alle Implementierungen eines Protokolls betroffen sind, ist ein Zeichen für ein grundlegendes Problem mit dem Standard.

Eine weitere Sicherheitslücke, die gravierende Folgen haben kann, betrifft ein Feature des IMAP-Standards. Ein Server kann bei einem Verbindungsaufbau dem Client durch eine Preauth-Antwort direkt signalisieren, dass dieser bereits authentifiziert ist und sich nicht mehr einloggen muss.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Verschlüsselung: Sicherheitsrisiko STARTTLSPreauth verhindert Verschlüsselung durch STARTTLS 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


jsonn 11. Aug 2021 / Themenstart

Die TLS-Protokolle hatten viele Jahre mit einem Problem zu kämpfen: inkompetente...

Artim 10. Aug 2021 / Themenstart

na Gott sei Dank. Dann muss man sich deine unsinnigen und leeren Behauptungen wenigstens...

bitshift 10. Aug 2021 / Themenstart

interessant (also wirklich). Danke für die Aufklärung.

gaym0r 10. Aug 2021 / Themenstart

Das war anstrengend zu lesen.

schily 09. Aug 2021 / Themenstart

Ja, das ist ein Problem, aber solange wir Leute wie Robert Elz nicht überzeugen können...

Kommentieren



Aktuell auf der Startseite von Golem.de
Akkutechnik
Lithiumknappheit führt zu Rekordpreisen

Preise steigen in einem Jahr von Rekordtief auf Rekordhoch. Das Angebot hält mit unerwartet hoher Nachfrage nach Lithium-Ionen-Akkus nicht mit.
Eine Analyse von Frank Wunderlich-Pfeiffer

Akkutechnik: Lithiumknappheit führt zu Rekordpreisen
Artikel
  1. Telekom: Firmen wollen private 5G-Netze gar nicht selbst betreiben
    Telekom
    Firmen wollen private 5G-Netze "gar nicht selbst betreiben"

    Laut Telekom wollen die Firmen in Deutschland ihre über 110 5G-Campusnetze nicht selbst führen. Doch es gibt auch andere Darstellungen.

  2. Smartphone-App: Digitaler Führerschein leidet unter enormen Schwierigkeiten
    Smartphone-App
    Digitaler Führerschein leidet unter enormen Schwierigkeiten

    Mit dem großen Andrang habe das Kraftfahrt-Bundesamt nicht gerechnet. Nun ist die App kaputt. Ein Update soll es richten.

  3. Blizzard: Reger Handel mit Gegenständen aus Diablo 2 Resurrected
    Blizzard
    Reger Handel mit Gegenständen aus Diablo 2 Resurrected

    Besonders mächtige Ausrüstung aus Diablo 2 Resurrected wird auf Auktionsbörsen gehandelt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • 7 Tage Samsung-Angebote bei Amazon (u. a. SSDs, Monitore, TVs) • Samsung G5 32" Curved WQHD 144Hz 265€ • Räumungsverkauf bei MediaMarkt • Nur noch heute: Black Week bei NBB • Acer Nitro 23,8" FHD 165Hz 184,90€ • Alternate (u. a. Cooler Master Gaming-Headset 59,90€) [Werbung]
    •  /