Contrabando SMTP: Nueva Falla Permite a los Atacantes Bypass de Seguridad y Suplantación de Emails

-


Una nueva técnica de explotación denominada contrabando SMTP (Protocolo Simple de Transferencia de Correo) puede ser armada por actores de amenazas para enviar correos electrónicos suplantados con direcciones falsas del remitente, mientras se evaden las medidas de seguridad.

"Los actores de amenazas podrían abusar de servidores SMTP vulnerables en todo el mundo para enviar correos electrónicos maliciosos desde direcciones de correo electrónico arbitrarias, permitiendo ataques de phishing dirigidos", dijo Timo Longin, consultor de seguridad senior en SEC Consult, en un análisis publicado el mes pasado.

SMTP es un protocolo TCP/IP utilizado para enviar y recibir mensajes de correo electrónico a través de una red. Para retransmitir un mensaje desde un cliente de correo electrónico (también conocido como agente de usuario de correo), se establece una conexión SMTP entre el cliente y el servidor para transmitir el contenido real del correo electrónico.

El servidor luego depende de lo que se llama un agente de transferencia de correo (MTA) para verificar el dominio de la dirección de correo electrónico del destinatario y, si es diferente del remitente, consulta el sistema de nombres de dominio (DNS) para buscar el registro MX (exchanger de correo) del dominio del destinatario y completar el intercambio de correo.

La esencia del contrabando SMTP se arraiga en las inconsistencias que surgen cuando los servidores SMTP salientes y entrantes manejan las secuencias de fin de datos de manera diferente, lo que potencialmente permite a los actores de amenazas salir del mensaje de datos, "contrabandear" comandos SMTP arbitrarios e incluso enviar correos electrónicos separados.


Contrabando SMTP

Toma prestado el concepto de un método de ataque conocido como contrabando de solicitudes HTTP, que aprovecha las discrepancias en la interpretación y procesamiento de las cabeceras HTTP "Content-Length" y "Transfer-Encoding" para anteponer una solicitud ambigua a la cadena de solicitudes entrantes.

Específicamente, explota fallas de seguridad en servidores de mensajería de Microsoft, GMX y Cisco para enviar correos electrónicos que suplantan millones de dominios. También están afectadas las implementaciones SMTP de Postfix y Sendmail.

Esto permite enviar correos electrónicos falsificados que aparentemente parecen originarse de remitentes legítimos y derrotar las verificaciones establecidas para asegurar la autenticidad de los mensajes entrantes, es decir, Correo Identificado con Claves de Dominio (DKIM), Autenticación de Mensajes Basada en Dominio, Informes y Conformidad (DMARC) y Marco de Políticas del Remitente (SPF).

Mientras que Microsoft y GMX han corregido los problemas, Cisco ha indicado que los hallazgos no constituyen una "vulnerabilidad, sino una característica y que no cambiarán la configuración predeterminada". Como resultado, el contrabando SMTP entrante a instancias de Cisco Secure Email todavía es posible con configuraciones predeterminadas.

Como solución, SEC Consult recomienda que los usuarios de Cisco cambien sus configuraciones de "Clean" a "Allow" para evitar recibir correos electrónicos suplantados con verificaciones DMARC válidas.


Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó un LLM, al ser una traducción automática puede contener errores gramaticales o de otro tipo, me pueden enviar un mensaje.

Comentarios

Publicar un comentario

Entradas más populares de este blog

DeepSeek: Ciberataque expone vulnerabilidades críticas en su modelo de IA R1 y reaviva debates sobre seguridad global

-
Imagen
La empresa china de inteligencia artificial DeepSeek enfrenta una tormenta de críticas tras revelar que un ciberataque masivo interrumpió sus servicios de registro de usuarios este lunes. El incidente coincide con hallazgos alarmantes de investigadores de seguridad: su modelo de IA *R1*, promocionado como una alternativa económica a ChatGPT y Gemini, presenta vulnerabilidades que permiten generar contenido malicioso y evadir controles éticos.   Detalles del ataque y fallos técnicos  Ataque DDoS sospechado : Aunque DeepSeek no confirmó detalles técnicos, expertos sugieren que el ataque fue de denegación de servicio (DDoS), saturando sus servidores para bloquear nuevos registros. La empresa aseguró que los usuarios existentes no se vieron afectados.   Falsas cuentas y riesgos de suplantación : DeepSeek alertó sobre perfiles falsos en redes sociales que imitan su marca, un movimiento que podría vincularse a campañas de phishing o desinformación.   Vulner...
Leer más

Resumen de los Principales Acontecimientos en Ciberseguridad de 2024

-
Imagen
El año 2024 ha sido testigo de eventos significativos en el ámbito de la ciberseguridad, marcados por avances tecnológicos, amenazas emergentes y respuestas regulatorias. Aumento de los Ataques de Ransomware  The Verge El ransomware continuó siendo una amenaza predominante. Grupos como LockBit llevaron a cabo ataques a gran escala, afectando a más de 2,500 entidades en al menos 120 países, incluyendo 1,800 en los Estados Unidos. Estos ataques resultaron en pérdidas financieras significativas y comprometieron datos sensibles de diversas organizaciones. Avances en la Regulación y Responsabilidad de las Empresas Tecnológicas  The Verge La propuesta de la Ley de Seguridad en Línea para Niños (KOSA) en los Estados Unidos buscó aumentar la responsabilidad de las empresas de redes sociales en la protección de los menores en línea. Aunque enfrentó desafíos legislativos, reflejó una tendencia global hacia una mayor regulación de las plataformas digitales para salvaguardar a los usuario...
Leer más

Microsoft Reemplaza Aplicación de Escritorio Remoto por Windows App: Implicaciones en Ciberseguridad

-
Imagen
Microsoft ha anunciado que, a partir del 27 de mayo de 2025, la aplicación Remote Desktop disponible en la Microsoft Store dejará de ser compatible y será reemplazada por la nueva Windows App. Esta transición busca unificar y mejorar las experiencias de escritorio remoto en sus plataformas, pero también plantea consideraciones importantes en términos de ciberseguridad. ​   Mejoras en Seguridad con Windows App La Windows App, lanzada en septiembre de 2024, ofrece varias mejoras significativas en comparación con la antigua aplicación de Escritorio Remoto:​ Acceso Unificado y Seguro : Proporciona acceso consolidado a múltiples servicios de Windows, incluyendo Windows 365, Azure Virtual Desktop y Microsoft Dev Box, desde una interfaz simplificada. Esta unificación reduce la superficie de ataque al centralizar los puntos de acceso. ​ Soporte Multimonitor y Resoluciones Dinámicas : Facilita una experiencia más fluida y adaptable, permitiendo a los usuarios trabajar de manera más efi...
Leer más