Vulnerabilidad en 20 Millones de Dominios de Confianza Debido a Explotaciones de Alojamiento de Correo Electrónico
Recientemente, se han descubierto tres nuevas técnicas de ataque que exponen a vulnerabilidades a millones de dominios confiables a través de explotaciones de alojamiento de correo electrónico. Estos métodos aprovechan configuraciones incorrectas y decisiones de diseño que afectan a al menos 50 proveedores de servicios de correo electrónico.
Exploits de Smuggling SMTP
Las técnicas descubiertas permiten a los actores malintencionados falsificar correos electrónicos de más de 20 millones de dominios pertenecientes a organizaciones de renombre. Los investigadores de seguridad de PayPal revelaron que estas vulnerabilidades permiten eludir protocolos de seguridad críticos como SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) y DMARC (Domain-based Message Authentication, Reporting, and Conformance). Esto les da la capacidad de enviar correos electrónicos maliciosos desde dominios de empresas Fortune 500 y agencias gubernamentales.
Problemas en la Verificación de Correos
Las fallas identificadas incluyen problemas con los procesos de verificación de correos utilizados por muchos proveedores de servicios de correo electrónico grandes. Específicamente, se han detectado problemas de autenticación de dominios, violaciones de las RFC (Request for Comments) y el abuso de firmas DKIM válidas y registros SPF.
Alojamiento de Correo Electrónico Vulnerable por Defecto
Los investigadores Hao Wang, Caleb Sargent y Harrison Pomeroy planean revelar cómo estos exploits se pueden encadenar para formar nuevos patrones de ataque en la próxima conferencia Black Hat USA. Además, compartirán información sobre los proveedores afectados, que podrían superar los 50.
Wang explicó que muchos proveedores de puertas de enlace de correo electrónico son vulnerables a ataques de smuggling SMTP en su configuración predeterminada. Aunque algunos proveedores ofrecen una configuración para rechazar correos electrónicos falsificados, habilitar esta característica podría bloquear correos electrónicos legítimos, lo cual lleva a muchos clientes a usar la configuración predeterminada, vulnerable a los ataques.
Técnicas de Ataque Innovadoras
El equipo se basó en trabajos previos de otros investigadores para desarrollar sus técnicas de ataque. Específicamente, se inspiraron en una charla denominada “SpamChannel” presentada por Marcello Salvati en DefCon 2023 y un ataque de smuggling SMTP descubierto por Timo Longin en diciembre.
Abuso del SPF: Muchos proveedores de alojamiento y servicios de correo electrónico no verifican correctamente los dominios al enviar correos electrónicos, lo que viola los requisitos de las RFC y permite a los atacantes eludir los controles de seguridad SPF/DMARC.
Abuso del DKIM: La verificación incorrecta de dominios al utilizar las características del bucle de retroalimentación de los principales proveedores de correo permite campañas masivas de suplantación de correos.
Smuggling SMTP: Los atacantes pueden explotar servidores SMTP vulnerables para enviar correos electrónicos maliciosos con direcciones de remitente falsificadas basándose en fallos existentes en los servidores de mensajería de Microsoft, GMX y Cisco.
Detección y Mitigación del Smuggling SMTP
Los investigadores también presentarán un método para detectar ataques de smuggling SMTP que involucra el identificador Message-ID que los servidores de correo añaden al enviar correos electrónicos. Este método correlaciona la diferencia entre los Message-IDs añadidos por los servidores SMTP salientes y entrantes cuando un atacante intenta enviar múltiples correos electrónicos en un corto tiempo a través de una sola conexión SMTP.
Implementar estas técnicas puede ayudar a las organizaciones a crear reglas de detección personalizadas y mitigar este tipo de ataques. A pesar de que estos ataques pueden eludir controles de seguridad DMARC, DKIM y SPF, es crucial que las organizaciones continúen implementando estas medidas como una base de seguridad fundamental.
Recomendaciones
Para mejorar la seguridad del correo electrónico y reducir el riesgo de ataques de phishing y suplantación de identidad, es recomendable que las organizaciones utilicen soluciones de filtrado de correo que empleen análisis heurísticos y basados en contenido, además de validar mensajes a través de controles de seguridad DMARC, DKIM y SPF. También es esencial que todos los proveedores de servicios de correo electrónico cumplan con los estándares RFC para autenticación y autorización, para mantener la seguridad y la confiabilidad en las comunicaciones por correo electrónico.
Para obtener más información sobre las técnicas de ataque y de protección, puede consultar el siguiente enlace: 20 Million Trusted Domains Vulnerable to Email Hosting Exploits.
Mantenerse informado y proactivo es esencial para mitigar riesgos y protegerse contra las amenazas emergentes en el ámbito de la ciberseguridad.