MX record Man In The Middle Attack?

4

En teoría, debería ser posible cambiar un registro MX del sitio A (aspmx.exampleA.com) al sitio B (aspmx.exampleB.com) y enviar el correo de vuelta al sitio A (aspmx.exampleA.com) Por lo tanto, puede interceptar todos los correos sin tener que preocuparse por SSl / HTTPS y descifrar las contraseñas de los usuarios.

EDITAR: ¿Qué pasa con los servidores con TLS habilitado? Consulte enlace

Se puede lanzar un ataque Man-in-the-middle eliminando el "250    STARTTLS "respuesta del servidor. (...) En    Para defenderse contra tales ataques, tanto los clientes como los servidores DEBEN ser    se puede configurar para requerir una negociación TLS exitosa de un    paquete de cifrado apropiado para los hosts seleccionados antes de que los mensajes puedan    transferido con éxito.

    
pregunta user101579 22.06.2012 - 02:36
fuente

2 respuestas

4

El envenenamiento de DNS y MiTM no son necesariamente lo mismo. Puede envenenar el DNS sin luego desviar el tráfico a la fuente real. El correo electrónico es una transacción sin estado, solo necesita recibir la transmisión, en la mayoría de los casos no hay una respuesta inmediata. Ahora, por supuesto, si reenvía el mensaje al destinatario real, ellos responderán y luego podrá capturar la siguiente respuesta al objetivo envenenado.

En una configuración básica esto debería funcionar. Obviamente, esto no anulará los mensajes cifrados con PGP o equivalentes, ya que están en una capa superior. Necesito volver a revisar después de algunas investigaciones, pero creo que hay algunos protocolos de confianza entre iguales o similares que detectan que un pícaro estaba en su lugar, pero no son básicos / estándar.

Editar: En realidad, esto podría funcionar tanto en el lado SMTP como en el POP / IMAP. Obviamente, no funciona si las direcciones IP se utilizan sin resolución de nombres.

    
respondido por el Eric G 22.06.2012 - 05:28
fuente
3

Sí, creo que el TS estaba preguntando y mezclando sobre el envenenamiento de caché de DNS y MiTM para detectar mensajes de correo electrónico. Web Design Hero es correcto. Envenenamiento y MiTM son dos cosas diferentes. Solo para agregar, esta es mi explicación de las cosas, ya que son dos tipos de ataques diferentes y existen muchas técnicas para esto.

Con el envenenamiento de caché de DNS, hay dos (2) opciones que puede considerar:

  1. Puede elegir explotar una falla en el servidor DNS para acceder a los registros O
  2. Puede elegir acceder a los registros DNS con un método diferente (usando MiTM) sin la necesidad de explotar una falla en el sistema DNS. Lo que está haciendo son las credenciales que necesita para acceder a los registros DNS.

El envenenamiento de caché funciona cuando se llenan las entradas no válidas en el DNS para que las solicitudes de DNS subsiguientes se resuelvan en las entradas de DNS maliciosas una vez que se haya realizado una actualización. Significa si tienes sample.com como tu dominio, y tienes:

    sample.com.        IN      MX  10   mail.sample.com.

El atacante puede hacer:

    sample.com.        IN      MX  10   mail.smple.com.

Al actualizarse, esto se propagará a otros servidores de nombres que actúen con autoridad, ya sea primario o secundario, etc. para su dominio. El host malicioso, por supuesto, mail.smple.com puede transmitir cada copia del mensaje al correo real MX mail.sample.com para que todo se vea bien. Por supuesto, la detección es más difícil porque, obviamente, no es necesario que revise todos los registros DNS en su servidor de nombres todos los días, a menos que haga una reconfiguración o haya algo sospechoso.

Con MiTM, estás tratando con la capa de red. El atacante necesita parcharse con la red para realizar el ataque. Esto significa que no necesita específicamente lanzar un ataque con el servidor de nombres, solo necesita asociarse con la red para rastrear. Por lo general, esto funciona como parte de la red interna. Al falsificar la IP de la puerta de enlace, puede comenzar a escuchar el tráfico realizando un envenenamiento ARP, transmitiendo a la red interna que usted es la puerta de enlace legítima y enviándole el tráfico antes de que llegue al otro extremo. aunque también puede funcionar IP pública a través de un BGP MiTM. En realidad, puede derrotar la seguridad de la capa de transporte como SSL / TLS no porque los rompa, sino porque el tráfico se puede enrutar a un puerto diferente.

    
respondido por el John Santos 22.06.2012 - 11:38
fuente

Lea otras preguntas en las etiquetas