Una nueva t\u00e9cnica de explotaci\u00f3n llamada Protocolo simple de transferencia de correo (SMTP<\/a>) los actores de amenazas pueden utilizar el contrabando como arma para enviar correos electr\u00f3nicos falsificados con direcciones de remitente falsas y eludir las medidas de seguridad.<\/p>\n “Los actores de amenazas podr\u00edan abusar de servidores SMTP vulnerables en todo el mundo para enviar correos electr\u00f3nicos maliciosos desde direcciones de correo electr\u00f3nico arbitrarias, permitiendo ataques de phishing dirigidos”, Timo Longin, consultor senior de seguridad de SEC Consult, dicho<\/a> en un an\u00e1lisis publicado el mes pasado.<\/p>\n SMTP es un protocolo TCP\/IP utilizado para enviar y recibir mensajes de correo electr\u00f3nico a trav\u00e9s de una red. Para transmitir un mensaje desde un cliente de correo electr\u00f3nico (tambi\u00e9n conocido como agente de usuario de correo), se establece una conexi\u00f3n SMTP entre el cliente y el servidor para transmitir el contenido real del correo electr\u00f3nico.<\/p>\n Luego, el servidor depende de lo que se llama un agente de transferencia de correo (MTA) para verificar el dominio de la direcci\u00f3n de correo electr\u00f3nico del destinatario y, si es diferente de la del remitente, consulta el sistema de nombres de dominio (DNS) para buscar el Registro MX (intercambiador de correo)<\/a> para el dominio del destinatario y completar el intercambio de correo.<\/p>\n El quid del contrabando SMTP tiene su origen en las inconsistencias que surgen cuando los servidores SMTP entrantes y salientes manejan las secuencias de fin de datos de manera diferente, lo que potencialmente permite a los actores de amenazas escapar de los datos del mensaje, “contrabandear” comandos SMTP arbitrarios e incluso enviar mensajes por separado. correos electr\u00f3nicos.<\/p>\n Toma prestado el concepto de un m\u00e9todo de ataque conocido conocido como contrabando de solicitudes HTTP, que aprovecha las discrepancias en la interpretaci\u00f3n y el procesamiento de los encabezados HTTP “Content-Length” y “Transfer-Encoding” para anteponer una solicitud ambigua a la solicitud entrante. cadena.<\/p>\n Espec\u00edficamente, explota fallas de seguridad en los servidores de mensajer\u00eda de Microsoft, GMX y Cisco para enviar correos electr\u00f3nicos falsificando millones de dominios. Tambi\u00e9n se ven afectadas las implementaciones SMTP de Postfix y Sendmail.<\/p>\n Esto permite enviar correos electr\u00f3nicos falsificados que aparentemente parecen provenir de remitentes leg\u00edtimos y frustrar los controles establecidos para garantizar la autenticidad de los mensajes entrantes, es decir, correo identificado con DomainKeys (DKIM<\/a>), autenticaci\u00f3n, informes y conformidad de mensajes basados \u200b\u200ben dominio (DMARC<\/a>) y Marco de pol\u00edticas del remitente (FPS<\/a>).<\/p>\n Si bien Microsoft y GMX han rectificado los problemas, Cisco dijo que los hallazgos no constituyen una “vulnerabilidad, sino una caracter\u00edstica y que no cambiar\u00e1n la configuraci\u00f3n predeterminada”. Como resultado, el contrabando SMTP entrante a instancias de Cisco Secure Email a\u00fan es posible con las configuraciones predeterminadas.<\/p>\n Como soluci\u00f3n, SEC Consult recomienda a los usuarios de Cisco cambiar su configuraci\u00f3n de “Limpiar” a “Permitir” para evitar recibir correos electr\u00f3nicos falsificados con comprobaciones DMARC v\u00e1lidas.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/Contrabando-de-SMTP-una-nueva-falla-permite-a-los-atacantes.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n