Scoperta di una sequenza che elude i filtri antivirus e antispam
Un gruppo di ricercatori ha individuato una vulnerabilità che permette di aggirare i sistemi di scansione antivirus e antispam impiegati negli ambienti aziendali.
Molte aziende e istituzioni accademiche si affidano a soluzioni centralizzate di antispam e antivirus per esaminare il contenuto delle email e bloccare i messaggi dannosi o potenzialmente pericolosi direttamente sul server. Questi strumenti spesso includono funzionalità per rilevare e modificare automaticamente i link nei messaggi, così da esaminare gli URL di destinazione attraverso un servizio dedicato.
Il gruppo ha scoperto che alcuni dei più noti servizi di scansione delle email utilizzati nelle imprese e nel settore dell'istruzione presentano un'anomalia. I link inseriti dopo la stringa "BEGIN PGP MESSAGE" vengono sistematicamente ignorati e non modificati in tutti i messaggi di posta consegnati agli utenti.
Cos'è "BEGIN PGP MESSAGE"?
"BEGIN PGP MESSAGE" è una stringa utilizzata nelle email per segnalare l'inizio di un messaggio crittografato o firmato con PGP (Pretty Good Privacy). PGP è una soluzione crittografica che assicura privacy e autenticità. Quando un'email contiene questa stringa, significa che il messaggio è protetto da crittografia PGP o firmato digitalmente per garantirne l'integrità e l'autenticità.
Alcuni sistemi di filtraggio delle email ignorano tutto ciò che segue "BEGIN PGP MESSAGE". Questo comportamento può essere sfruttato per eludere i filtri di sicurezza, come nel caso discusso.
Aggiornamento del filtro contro i link dannosi nelle email
Poiché "BEGIN PGP MESSAGE" è seguito da righe contenenti testo crittografato o firmato, molti strumenti antivirus e antispam evitano di apportare modifiche in quest'area per non compromettere dati importanti.
Questa scoperta ha rivelato che è possibile aggirare le misure di protezione in alcuni noti prodotti. Chi invia email con link dannosi può sfruttare questa tecnica per superare i filtri di sicurezza, rendendo inefficaci le difese. Il sistema di riscrittura degli URL non riesce a contrastare tali attacchi, poiché i link pericolosi non vengono più rilevati dal filtro.
Inoltre, in molti casi, i messaggi contenenti "BEGIN PGP MESSAGE" non vengono nemmeno contrassegnati come provenienti da fonti potenzialmente non sicure.
Soluzioni di filtraggio individuate dai ricercatori
Le indagini condotte finora hanno messo in luce alcune soluzioni ampiamente utilizzate.em Ad esempio Microsoft Outlook Safe Links, (parte di Microsoft Defender for Office 365), riscrive gli URL nelle email per verificarli tramite un sistema di sicurezza cloud che controlla i link dannosi. Tuttavia, i messaggi contenenti "BEGIN PGP MESSAGE" possono eludere il filtro, poiché il sistema presume che i contenuti creati con PGP siano sicuri e integri.
Anche altre soluzioni per la sicurezza delle email possono presentare comportamenti simili. Pertanto, è essenziale effettuare verifiche approfondite e segnalare eventuali comportamenti anomali agli sviluppatori della soluzione scelta.