Un
descubrimiento reciente del CERT
ha revelado vulnerabilidades en varios servidores SMTP, lo que permite a los
usuarios autenticados y a ciertas redes de confianza enviar correos
electrónicos con información de remitente falsificada.
Estas vulnerabilidades, CVE-2024-7208 y CVE-2024-7209, explotan debilidades en
los mecanismos de autenticación y verificación proporcionados por Sender
Policy Framework (SPF) y Domain Key Identified Mail (DKIM). Mediante las
vulnerabilidades, se evita la autenticación, informe y conformidad de mensajes
basada en dominios (DMARC), que se basa en SPF y DKIM, lo que permite a los
atacantes eludir las medidas de seguridad y falsificar las identidades de los
remitentes.
Aquí se encuentra la
lista de servicios y proveedores afectados.
Descripción técnica de las vulnerabilidades
Las vulnerabilidades se derivan de la inseguridad inherente del protocolo
SMTP, como se describe en
RFC 5321 #7.1. Los registros SPF están diseñados para identificar redes IP autorizadas
para enviar correos electrónicos en nombre de un dominio. Al mismo tiempo,
DKIM proporciona una firma digital para verificar partes específicas del
mensaje retransmitido por SMTP.
Según el
informe de CERT, DMARC combina estas capacidades para mejorar la seguridad del correo
electrónico. Sin embargo, los investigadores han descubierto que muchos
servicios de correo electrónico que alojan varios dominios no verifican
adecuadamente al remitente autenticado con sus identidades de dominio
permitidas.
-
CVE-2024-7208: Permite que un remitente autenticado suplante la identidad de
un dominio compartido alojado, evadiendo las políticas DMARC, SPF y DKIM. -
CVE-2024-7209: Explota los registros SPF compartidos en proveedores de
alojamiento multiusuario, lo que permite a los atacantes utilizar la
autorización de red para suplantar la identidad de correo electrónico del
remitente.
Este descuido permite a los atacantes autenticados falsificar identidades en
el encabezado del mensaje de correo electrónico, enviando correos electrónicos
como cualquier persona dentro de los dominios alojados.
El impacto de estas vulnerabilidades es significativo. Un atacante autenticado
puede explotar la autenticación de red o SMTP para falsificar la identidad de
una instalación de alojamiento compartido, eludiendo las políticas de DMARC y
los mecanismos de verificación del remitente.
Esto podría conducir a una suplantación generalizada de identidad por correo
electrónico, socavando la confianza en las comunicaciones por correo
electrónico y potencialmente causando graves daños financieros y de reputación
a las organizaciones afectadas.
Los proveedores de alojamiento de dominios que ofrecen servicios de
retransmisión de correo electrónico deben implementar medidas de verificación
más estrictas. Deben asegurarse de que la identidad de un remitente
autenticado se verifique con identidades de dominio autorizadas.
Los proveedores de servicios de correo electrónico también deben utilizar
métodos confiables para verificar que la identidad del remitente de la red
(MAIL FROM) y el encabezado del mensaje (FROM:) sean consistentes.
Los propietarios de dominios deben tomar medidas estrictas para garantizar que
su política DMARC basada en DNS (DKIM y SPF) proteja la identidad del
remitente y a sus usuarios y marcas de los abusos causados por la
suplantación de identidad. Si se espera que un dominio proporcione una alta
seguridad de identidad, el propietario del dominio debe utilizar su propia
función DKIM, independientemente del proveedor de alojamiento, para reducir el
riesgo de ataques de suplantación de identidad.
Fuente:
Cyber Security News