Outlook Express позволяет обходить фильтрацию почтовых серверов

13.09.2002 | 15:25
Группа Beyond Security's SecurITeam обнаружила возможность обхода защиты почтовых серверов, основанной на фильтрации содержимого почтового сообщения.

Такая защита применяется на многих почтовых серверах. В качестве основы применяются продукты таких известных фирм, как Check Point (FW-1), GFI (MailSecurity for Exchange/SMTP), Symantec (Norton AntiVirus), TrendMicro (InterScan VirusWall), SonicWALL, NAI и др.

Используя нестандартное представление имени файла, MIME-частей и содержимого можно обойти системы фильтрации содержимого. Причем, как утверждают авторы, для этого достаточно иметь почтовый клиент Outlook Express.

Для организации атаки применяется мало известная способность Outlook под названием message fragmentation and re-assembly (разбиение сообщения на части с последующей сборкой). Предназначено это свойство Outlook Express для того, чтобы пользователи на медленных Интернет/интранет каналах могли посылать большие сообщения, дробя их на части с последующей сборкой цельного сообщения на противоположной стороне. Эта особенность почты документирована в RFC2046, секция 5.2.2.1 "Message Fragmentation and Reassembly". Подобные сообщения некорректно обрабатываются стоящими на почтовых серверах вирус-сканерами и другими инструментами фильтрации содержимого. Разбив содержимое вируса/червя, представленного в виде (для примера) "VIRUS SIGNATURE" на 2 части (1-VIRUS, 2-SIGNATURE), можно обойти антивирусные инструменты, настроенные на поиск в теле письма вируса в цельном виде. При этом получатель после "сборки" получит вирус (червь) в цельном виде. При исследовании был сделан вывод, что единственным клиентом, который делает это "на лету" ("flick of button"), оказался Outlook Express. Возможность сборки фрагментированной почты включена в нем по умолчанию. Другие клиенты (включая и Microsoft Outlook) такой "возможности" лишены.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://www.uinc.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код