Un attore sconosciuto ha sfruttato una configurazione errata nel sistema di routing delle email di Proofpoint per inviare milioni di email di phishing falsificate spacciandosi per aziende note come Best Buy, IBM, Nike e Walt Disney. Questa campagna, denominata EchoSpoofing, è iniziata a gennaio 2024, con il numero di email inviate che ha raggiunto un picco di 14 milioni di email al giorno a giugno, quando Proofpoint ha iniziato a implementare contromisure.
Questa vulnerabilità ha permesso agli aggressori di inviare email attraverso i relè di Proofpoint con firme SPF e DKIM autenticate, superando così le principali protezioni di sicurezza. Questo rendeva difficoltoso per i destinatari riconoscere che le email non provenivano realmente dalle aziende imitate.
Il metodo di spoofing utilizzato è notevole perché rispetta le misure di autenticazione e sicurezza come SPF e DKIM, che sono progettate per prevenire l'imitazione dei domini legittimi. Gli aggressori hanno inviato i messaggi da un server SMTP su un server virtuale privato (VPS), sfruttando configurazioni permissive nei server Proofpoint per inoltrare i messaggi agli utenti di provider di email gratuiti come Yahoo!, Gmail e GMX.
Guardio Labs ha descritto questo come un difetto di configurazione "super-permissivo" nei server Proofpoint ("pphosted.com") che ha permesso agli spammer di sfruttare l'infrastruttura email per inviare i messaggi. La configurazione vulnerabile sugli Exchange Server permetteva di collegare direttamente il connettore delle email in uscita all'endpoint "pphosted.com", pubblicamente disponibile tramite i record DNS MX.
Gli aggressori hanno utilizzato una versione modificata di un software di consegna email legittimo chiamato PowerMTA per inviare i messaggi, utilizzando una serie di VPS noleggiati da diversi provider, con molti indirizzi IP diversi per inviare rapidamente migliaia di messaggi alla volta dai loro server SMTP a Microsoft 365, che li inoltrava ai server dei clienti di Proofpoint.
Proofpoint ha individuato questa attività a marzo e ha lavorato per fornire istruzioni correttive ai clienti, implementando un'interfaccia amministrativa semplificata per specificare quali tenant di Microsoft 365 possono essere autorizzati a inoltrare i messaggi. Inoltre, Proofpoint ha contattato direttamente alcuni clienti per modificare le loro impostazioni e fermare l'efficacia dell'attività di spam in uscita.
La società ha sottolineato che nessun dato dei clienti è stato esposto, né ci sono state perdite di dati a causa di queste campagne. Tuttavia, ha esortato i provider VPS a limitare la capacità degli utenti di inviare grandi volumi di messaggi dai server SMTP ospitati sulla loro infrastruttura e i provider di servizi email a limitare le capacità dei tenant di prova gratuiti e non verificati di inviare email di massa.
Per i responsabili della sicurezza delle informazioni (CISO), il consiglio è di prestare particolare attenzione alla postura cloud della propria organizzazione, soprattutto quando si utilizzano servizi di terze parti che diventano la spina dorsale delle comunicazioni aziendali.