Error de suplantación de correo electrónico afecta a más de 30 populares clientes de correo electrónico
Si recibes un correo electrónico que parece ser de uno de tus amigos, ¡ten cuidado! Es posible que el correo electrónico haya sido enviado por otra persona en un intento de comprometer tu sistema.
Un investigador de seguridad ha descubierto una colección de vulnerabilidades en más de 30 populares aplicaciones de clientes de correo electrónico que podrían permitir a cualquier persona enviar correos electrónicos falsificados evitando los mecanismos antifalsificación.
Descubierto por el investigador de seguridad Sabri Haddouche, el conjunto de vulnerabilidades, denominado MailSploit, afecta a Apple Mail (macOS, iOS y watchOS), Mozilla Thunderbird, varios clientes de correo electrónico de Microsoft, Yahoo Mail, ProtonMail y otros.
Aunque la mayoría de estas aplicaciones de cliente de correo electrónico afectadas han implementado mecanismos anti-spoofing, como DKIM y DMARC, MailSploit aprovecha la forma en que los clientes de correo electrónico y las interfaces web analizan el encabezado "From (De)".
La suplantación de correo electrónico es una tecnica de la vieja escuela, pero funciona bien, que permite que alguien modifique los encabezados de los correos electrónicos y envía un correo electrónico con la dirección del remitente falsificada para engañar a los destinatarios haciendoles creer que están recibiendo ese correo electrónico de una persona específica.
En un sitio web dedicado que se presentó hoy, Haddouche explicó cómo la falta de sanitización de insumos implementada por clientes de correo electrónico vulnerables podría llevar a un ataque de suplantación de correo electrónico, sin explotar realmente ningún defecto en DMARC.
Para demostrar este ataque, Haddouche creó una carga mediante la codificación de caracteres no ASCII dentro de los encabezados del correo electrónico, enviando con exito un correo falso desde una dirección oficial perteneciente al Presidente de los Estados Unidos.
"Usar una combinación de caracteres de control como líneas nuevas o byte nulo, puede resultar en ocultar o eliminar la parte de dominio del correo electrónico original", dice Haddouche en su publicación de blog.
"Hemos visto una gran cantidad de malware propagarse a traves de correos electrónicos, confiando en tecnicas de ingeniería social para convencer a los usuarios de abrir archivos adjuntos no seguros o hacer clic en enlaces de phishing. El aumento del ransomware distribuido por correo electrónico demuestra claramente la efectividad de esos mecanismos".
Además de la suplantación, el investigador descubrió que algunos de los clientes de correo electrónico, incluidos Hushmail, Open Mailbox, Spark y Airmail, tambien son vulnerables a las vulnerabilidades de scripts de sitios cruzados (XSS), que se deriva del problema de suplantación de correo electrónico.
Haddouche informó sobre este error con una simulación a 33 aplicaciones de clientes diferentes, 8 de las cuales ya han corregido este problema en sus productos antes de la divulgación pública y 12 están en camino a solucionarlo.
Aquí puedes encontrar la lista de todos los clientes de correo electrónico y web (tanto parcheados como no) que son vulnerables al ataque de MailSploit.
Sin embargo, Mozilla y Opera consideran que este error es un problema del lado del servidor y no liberarán ningún parche. Mailbird cerró el ticket sin responder al problema, mientras que los restantes 12 vendedores aún no comentaron el informe del investigador.
