Clicky

Contrabando de SMTP: una nueva falla permite a los atacantes eludir la seguridad y falsificar correos electrónicos

Contrabando de SMTP

Se ven afectadas las implementaciones SMTP de Postfix y Sendmail

Los actores de amenazas pueden utilizar una nueva técnica de explotación llamada contrabando del Protocolo para transferencia simple de correo (SMTP) para enviar correos electrónicos falsificados con falsas direcciones del remitente y eludir las medidas de seguridad.

"Los actores de amenazas podrían abusar de servidores SMTP vulnerables en todo el mundo para enviar correos electrónicos maliciosos desde direcciones de correo electrónico arbitrarias, permitiendo ataques de phishing dirigidos", dijo Timo Longin, consultor senior de seguridad de SEC Consult, en un análisis publicado el mes pasado.

SMTP es un protocolo TCP/IP utilizado para enviar y recibir mensajes de correo electrónico a través de una red. Para transmitir un mensaje desde un cliente de correo electrónico (también conocido como agente de usuario de correo), se establece una conexión SMTP entre el cliente y el servidor para transmitir el contenido real del correo electrónico.

Luego, el servidor depende de lo que se llama un agente de transferencia de correo (MTA) para verificar el dominio de la dirección de correo electrónico del destinatario y, si es diferente de la del remitente, consulta el sistema de nombres de dominio (DNS) para buscar el registro MX (intercambiador de correo) del dominio del destinatario y completar el intercambio de correo.

El quid del contrabando SMTP tiene su origen en las inconsistencias que surgen cuando los servidores SMTP entrantes y salientes manejan las secuencias de fin de datos de manera diferente, lo que potencialmente permite a los actores de amenazas escapar de los datos del mensaje, "contrabandear" comandos SMTP arbitrarios e incluso enviar correos electrónicos separados.

detalle e Contrabando de SMTP

Toma prestado el concepto de un conocido método de ataque conocido como contrabando de solicitudes HTTP, que aprovecha las discrepancias en la interpretación y el procesamiento de los encabezados HTTP "Content-Length" y "Transfer-Encoding" para anteponer una solicitud ambigua a la cadena de solicitudes entrantes.

Específicamente, explota fallas de seguridad en los servidores de mensajería de Microsoft, GMX y Cisco para enviar correos electrónicos falsificando millones de dominios. También se ven afectadas las implementaciones SMTP de Postfix y Sendmail.

Esto permite enviar correos electrónicos falsificados que aparentemente parecen provenir de remitentes legítimos y superar los controles establecidos para garantizar la autenticidad de los mensajes entrantes, es decir, correo identificado con claves de dominio (DKIM), autenticación, informes y conformidad de mensajes basados en dominio (DMARC) y marco de políticas del remitente (SPF).

Si bien Microsoft y GMX han rectificado los problemas, Cisco dijo que los hallazgos no constituyen una "vulnerabilidad, sino una característica y que no cambiarán la configuración predeterminada". Como resultado, el contrabando SMTP entrante a instancias de Cisco Secure Email aún es posible con las configuraciones predeterminadas.

Como solución, SEC Consult recomienda a los usuarios de Cisco cambiar su configuración de "Clean" a "Allow" para evitar recibir correos electrónicos falsificados con comprobaciones DMARC válidas.

Jesus_Caceres