Eludere gli anti-virus dei server SMTP tramite codifica MIME

Hendrik Weimer, nel suo blog, ha riportato i risultati dei suoi test effettuati su alcuni anti virus per server SMTP.

Quando si spediscono file tramite email essi vengono codificati in maniera tale da poter essere compatibili con il protocollo SMTP, che è stato inventato quando le email erano formate da solo testo. Lo standard Internet per la codifica di file si chiama MIME(Multipurpose Internet Mail Extensions).
Il metodo in “Base64” è uno di quelli approvati dallo standard MIME ed è anche il più utilizzato dai client di posta. Come si può intuire dal nome questo algoritmo si basa su un alfabeto di 64 caratteri, ogniuno dei quali rappresenta un valore predefinito.

Nella RFC 2045 è definito come la codifica “Base64″ deve funzionare e come una implementazione software si deve comportare in caso di caratteri non riconosciuti:

All line breaks or other characters not found in [the alphabet] must be ignored by decoding software

Stando a questa regola, non dovrebbe accadere niente se si inseriscono alcuni caratteri a caso, non facenti parte dell’alfabeto della base 64, in una stringa già codificata. In verità come dice lo stesso Hendrik Weimer non è così. Dopo aver inserito alcuni caratteri a caso presi da EICAR e aver presentato all’anti virus, presente sul server SMTP, un file codificato in modo inusuale esso non rileverà niente di anomalo.
L’autore del test ha “racchiuso” il codice nocivo (in questo caso EICAR) tra altri pezzi di multipart/mixed (come altro testo e altri allegati). Tramite questa tecnica è riuscito a nascondere EICAR a 5 dei 6 anti virus provati.

I prodotti considerati vulnerabili dall’autore sono:

  • BitDefender Mail Protection for SMB 2.0
  • ClamAV 0.88.6
  • F-Prot Antivirus for Linux x86 Mail Servers 4.6.6
  • Kaspersky Anti-Virus for Linux Mail Server 5.5.10

F-Secure Anti-Virus for Linux Gateways 4.65 non è riuscito ugualmente a riconoscere EICAR ma almeno ha informato che non era possibile controllare affondo l’email.
L’unico a distinguersi è stato avast! for Linux/Unix Servers 2.0.0.

Microsoft Outlook e Mutt riescono a ricostruire (decodificare) gli allegati preparati nel modo spiegato sopra, ma non tutti i client riescono a farlo.

Per combattere questo genere di attacchi è necessario avere uno script o un demone che normalizzi la codifica MIME, utilizzata nell’email, prima di passare il messaggio all’anti virus di turno. Un esempio è amavisd-new.

 

Nessun Commento.. Puoi essere il primo!

Lascia un Commento