domenica, Maggio 26, 2024

Stringa “BEGIN PGP MESSAGE” elude filtri antivirus e antispam.

**SCOPERTA LA STRINGA CHE ELUDE IL FUNZIONAMENTO DEI FILTRI ANTIVIRUS E ANTISPAM**

Tante aziende e realtà accademiche utilizzano soluzioni antispam e antivirus centralizzate che effettuano la scansione del contenuto delle email e bloccano, lato server, i messaggi di posta dannosi o potenzialmente tali. Questi strumenti spesso integrano anche dei meccanismi che rilevano la presenza di link nei messaggi e li modificano automaticamente, facendo in modo che l’URL di destinazione sia a sua volta sottoposto ad esame ricorrendo a un servizio “ad hoc”.

**COSA SIGNIFICA BEGIN PGP MESSAGE**

Alcuni sistemi di filtraggio delle email, tuttavia, ignorano tutto ciò che segue BEGIN PGP MESSAGE. Questo comportamento può essere sfruttato per bypassare i filtri di Sicurezza, come accaduto nel caso discusso a questo indirizzo. Il risultato è che gli URL presenti in un messaggio possono essere sottratti a qualsiasi sistema di scansione interno o esterno all’azienda.

**BYPASS DEL FILTRO CONTRO I LINK DANNEGGIATI NELLE EMAIL**

Dal momento che la stringa BEGIN PGP MESSAGE è seguita da una serie di righe contenenti il testo cifrato o firmato, tanti strumenti antivirus e antispam evitano di applicare qualunque modifica in quest’area in modo da non danneggiare dati importanti.
Da questa semplice osservazione deriva la scoperta degli universitari che si sono accorti come sia facile bypassare le misure di protezione integrate in alcuni famosi prodotti.
Chiunque invii email con link a siti dannosi può utilizzare la stessa tecnica per scavalcare il filtro, rendendo vana qualsiasi linea di difesa. Il sistema di riscrittura degli URL diviene inefficace contro gli attacchi, poiché i link pericolosi non vengono più intercettati filtro.
Effettuando un po’ di test, emerge anche che – in molti casi – i messaggi contenenti l’indicatore BEGIN PGP MESSAGE non sono nemmeno più marcati come provenienti da fonti potenzialmente inaffidabili.

**I FILTRI CITATI DAI RICERCATORI**

Le verifiche sin qui effettuate puntano il dito contro alcune soluzioni largamente utilizzate. Microsoft Outlook Safe Links, parte di Microsoft Defender for office 365, riscrive gli URL nelle email per verificarli attraverso un sistema di sicurezza cloud che controlla i link dannosi. Tuttavia, gli accademici hanno osservato che i messaggi contenenti BEGIN PGP MESSAGE possono bypassare il filtro, poiché il sistema presuppone che i contenuti creati con PGP siano sicuri e intatti.
Anche altre soluzioni per la sicurezza delle email possono evidenziare comportamenti molto simili: è quindi essenziale effettuare verifiche approfondite ed eventualmente segnalare il comportamento anomalo agli sviluppatori della soluzione prescelta.

ARTICOLI COLLEGATI:

ULTIMI ARTICOLI: