Una nueva técnica de explotación llamada Protocolo simple de transferencia de correo (SMTP) los actores de amenazas pueden utilizar el contrabando como arma para enviar correos electrónicos falsificados con direcciones de remitente falsas y eludir las medidas de seguridad.
“Los actores de amenazas podrían abusar de servidores SMTP vulnerables en todo el mundo para enviar correos electrónicos maliciosos desde direcciones de correo electrónico arbitrarias, permitiendo ataques de phishing dirigidos”, Timo Longin, consultor senior de seguridad de SEC Consult, dicho en un análisis publicado el mes pasado.
SMTP es un protocolo TCP/IP utilizado para enviar y recibir mensajes de correo electrónico a través de una red. Para transmitir un mensaje desde un cliente de correo electrónico (también conocido como agente de usuario de correo), se establece una conexión SMTP entre el cliente y el servidor para transmitir el contenido real del correo electrónico.
Luego, el servidor depende de lo que se llama un agente de transferencia de correo (MTA) para verificar el dominio de la dirección de correo electrónico del destinatario y, si es diferente de la del remitente, consulta el sistema de nombres de dominio (DNS) para buscar el Registro MX (intercambiador de correo) para el dominio del destinatario y completar el intercambio de correo.
El quid del contrabando SMTP tiene su origen en las inconsistencias que surgen cuando los servidores SMTP entrantes y salientes manejan las secuencias de fin de datos de manera diferente, lo que potencialmente permite a los actores de amenazas escapar de los datos del mensaje, “contrabandear” comandos SMTP arbitrarios e incluso enviar mensajes por separado. correos electrónicos.
Toma prestado el concepto de un método de ataque conocido conocido como contrabando de solicitudes HTTP, que aprovecha las discrepancias en la interpretación y el procesamiento de los encabezados HTTP “Content-Length” y “Transfer-Encoding” para anteponer una solicitud ambigua a la solicitud entrante. cadena.
Específicamente, explota fallas de seguridad en los servidores de mensajería de Microsoft, GMX y Cisco para enviar correos electrónicos falsificando millones de dominios. También se ven afectadas las implementaciones SMTP de Postfix y Sendmail.
Esto permite enviar correos electrónicos falsificados que aparentemente parecen provenir de remitentes legítimos y frustrar los controles establecidos para garantizar la autenticidad de los mensajes entrantes, es decir, correo identificado con DomainKeys (DKIM), autenticación, informes y conformidad de mensajes basados en dominio (DMARC) y Marco de políticas del remitente (FPS).
Si bien Microsoft y GMX han rectificado los problemas, Cisco dijo que los hallazgos no constituyen una “vulnerabilidad, sino una característica y que no cambiarán la configuración predeterminada”. Como resultado, el contrabando SMTP entrante a instancias de Cisco Secure Email aún es posible con las configuraciones predeterminadas.
Como solución, SEC Consult recomienda a los usuarios de Cisco cambiar su configuración de “Limpiar” a “Permitir” para evitar recibir correos electrónicos falsificados con comprobaciones DMARC válidas.
About the Author
