Уязвимость механизма пересылки Gmail и Outlook грозит спуфингом отправителя

Уязвимость механизма пересылки Gmail и Outlook грозит спуфингом отправителя

Уязвимость механизма пересылки Gmail и Outlook грозит спуфингом отправителя

В нескольких реализациях функции автоматической пересылки писем выявлены уязвимости, позволяющие обойти защиту и подделать домен отправителя. Проблема затрагивает тысячи организаций, доверивших отправку своей почты Microsoft, Apple либо Google.

В ходе исследования сборная команда из университетов Калифорнии (Сан-Диего), Стэнфорда и Твенте (Нидерланды) обнаружила, что почтовые сервисы Gmail, iCloud, Outlook, индийский Zohomail не верифицируют адрес отправителя при переадресации почты. Подобное упущение открывает возможность для спуфинга, ставя под удар, в числе прочих, правительство США и более 12% компаний списка Alexa 100K (Mastercard, GoDaddy, Associated Press, Washington Post, Docusign и проч.).

Для проведения атаки злоумышленнику лишь потребуется создать учетную запись для пересылки писем и добавить поддельные адреса в белый список. Отправлять поддельные сообщения можно со специально открытого аккаунта или собственного сервера.

По оценкам исследователей, найденные ими уязвимости затрагивают примерно 1,9 млрд пользователей в разных странах, а также 32% доменов .gov. Результаты исследования были представлены на конференции IEEE по безопасности и приватности, проведенной в минувшем июле в Делфте, Нидерланды.

Провайдерам были отправлены уведомления о находках; Zoho и Google проблему решили с помощью патчей, Microsoft подтвердила наличие уязвимостей, в iCloud тоже пока не нашли адекватного решения. Пользователям рекомендуется отключить автопересылку, а поставщикам почтовых услуг — перестать слепо доверять сообщениям, получаемым от коллег по цеху.

Selectel перевёл SelectOS на Debian 13 и подготовил ОС к сертификации ФСТЭК

Selectel представил новую версию собственной серверной операционной системы SelectOS 2.0. Обновление построено на пакетной базе Debian 13 с использованием ядра Linux 6.12.86. В компании заявляют, что в релизе переработали систему с учетом опыта эксплуатации предыдущих версий, а также требований, необходимых для сертификации во ФСТЭК России.

Одной из главных особенностей SelectOS 2.0 стала ориентация на привычную для администраторов экосистему Debian и Ubuntu. Это должно упростить переход на новую систему без изменения подходов к работе с пакетами, обновлениями и администрированием.

Разработчики также уделили внимание современному серверному оборудованию. По данным Selectel, система протестирована на совместимость с драйверами ведущих производителей графических ускорителей, поэтому ее можно использовать в инфраструктуре для задач машинного обучения и работы с ИИ-моделями.

В новой версии появился механизм управляемой цепочки поставок: пакеты распространяются через собственные репозитории с GPG-подписью, что позволяет контролировать их происхождение. Кроме того, дистрибутив ориентирован исключительно на серверное использование и не включает лишние десктопные компоненты, что сокращает потенциальную поверхность атаки.

Для специалистов по информационной безопасности предусмотрен отдельный канал получения обновлений безопасности. В компании отмечают, что это должно упростить контроль изменений и соответствие внутренним требованиям организаций.

SelectOS 2.0 доступна в нескольких вариантах: в виде ISO-образов для физических серверов и виртуальных машин, формата QCOW2 для облачных сред, а также контейнерных образов. Это позволяет использовать одну операционную систему в разных типах инфраструктуры.

Операционная система включена в Реестр российского программного обеспечения и уже доступна для использования на облачных и выделенных серверах Selectel.

RSS: Новости на портале Anti-Malware.ru