Proofpoint の脆弱性 EchoSpoofing:フィッシング・キャンペーンに悪用されている

Phishing Campaign Exploited Proofpoint Email Protections for Spoofing

2024/07/29 SecurityWeek — Proofpoint のメール保護サービスの脆弱性を悪用し、有名企業に成りすますフィッシング・キャンペーンが展開されていることが、Guardio Labs のレポートにより明らかになった。このキャンペーンでは、1日あたり数百万通のフィッシング・メッセージが配信されている。攻撃者たちは、Proofpoint を悪王することで、フィッシング・メッセージが本物であるように見せかけている。彼らは、過剰なアクセス許可を与えるという 、Proofpoint のミス・コンフィグを悪用することで、電子メールのセキュリティ保護を回避しているという。


EchoSpoofing と命名された、この Proofpoint の脆弱性を悪用する攻撃者たちは、 Microsoft Exchange と Proofpoint のサービスを経由させることで、悪意の電子メールにおいて適切な署名/認証を取得し、フィッシング・メッセージを配信していた。

Guardio は、「これらの電子メールが、被害者の受信トレイに届くまでの経路を分析したところ、仮想サーバ上の単純な SMTP サーバから始まり、Office365 Online Exchange サーバを経由し、その後に電子メールを送信するドメイン固有の Proofpoint サーバに至るという、共通点があることがわかった」と説明している。

Proofpoint としては、電子メールを Proofpoint のサーバに送信するだけでよいため、電子メール・セキュリティ・サービスを簡単に統合できる。つまり、このサービスはファイアウォールとして機能し、電子メールは受信者に送信される。

Proofpoint の送信リレー・サーバ (pphosted.com) は、顧客が Proofpoint のエンドポイントを適切に設定し、認証された電子メールの代理送信を許可している場合に限り、SPF (Sender Policy Framework) と DKIM (DomainKeys Identified Mail) の認証と署名も行う。

フィッシング・メールを分析したところ、攻撃者が管理する Office365 アカウントを使用して作成され、Exchange サーバを経由してリレーされ、Proofpoint リレーを経由して配信されるため、Proofpoint が認証および署名を行うことになる。

SMTP プロトコルの仕組みにより、承認された電子メール・サービスを追加するために認証は使用されない。それは IP アドレスのみで行われ、Office365 などのメール・サービスに関連する IP リストを、Proofpoint は事前に承認している。

しかし、顧客が一般的な Office365 アカウントを設定した場合には、どの Office365 アカウントであっても Proofpoint のリレー・サーバとやり取りできる。また、Exchange は電子メールを変更することなく、ブラインドでリレーするように設定されているため、この超許容的なミス・コンフィグを悪用する攻撃者は、なりすまし電子メールを生成し、Proofpoint のサーバが受け入れさせ、処理させていた。

Guardio は、「Proofpoint から “エコー” バックされ、DKIM と SPF のチェックも含めて、実際のドメイン名と完全に一致する、完全な本物の電子メールとして送信される」と説明している。

ただし、この攻撃が機能するには、攻撃者がなりすましているブランドの固有の ID も必要になる。この ID は、DNS プロトコルで公開されている、組織の MX レコードから抽出される。

Guardio のレポートでは、「それに続いて攻撃者は、自身がコントロールする Exchange オンライン・サーバに戻り、他の Proofpoint ユーザーと同じように設定する。つまり、Exchange オンライン・サーバに、pphosted.com サーバを指す送信メールのコネクターを追加するのだ。それにより、ブラインド・リレーの設定に加えて、完全になりすましたメールの完全な配信チェーンを、攻撃者は手に入れたことになる」と詳述されている。

Proofpoint の脆弱性 EchoSpoofing の悪用は、2024年1月頃から始まり、1日あたりおよそ300万通のフィッシング・メールが送信され、ピーク時には 1,400万通のメールが観測されたという。このキャンペーンで攻撃者たちは、Disney/BestBuy/Coca-Cola/IBM/Nike などの有名企業になりすまし、被害者の資金やクレジットカード情報を盗み取っていた。

2024年3月に、この悪用を発見した Proofpoint は、5月の時点でユーザーに対して、誤ったコンフィグに関する通知を行った。しかし、悪用された多くの Office365 アカウントには、依然としてパッチが適用されていない。

このキャンペーンでは、Office365 との統合が露出していた。そこで Proofpoint は、Office365 のアカウント名を取り込んだ Exchange 用のベンダー固有のヘッダーを使用して、送信メールに自動的に付加する緩和策を展開した。

また、Proofpoint は、許可設定に関連する潜在的なリスクをユーザーに通知し、”テナントを承認し、悪用の兆候を簡単に監視” できるようにする、アップデートも展開している。

認証や署名をブリッジさせていくことで、強固なメカニズムを構築し、それを容易に利用するという考え方に、抜け道が生じていました。同じく 2024/07/29 の「OAuth と XSS のコンボ攻撃:数百万人の Web ユーザーをアカウント乗っ取りで脅かす」も、なんとなく似ている感じがしてしまいます。便利なものを否定する気はありませんが、それが悪用されると、深刻に事態へと、容易に陥っていきますね。よろしければ、Proofpoint で検索も、ご利用ください。