MailSploit: se descubren vulnerabilidades que permiten falsificar los encabezados de correos electrónicos

Un investigador alemán ha descubierto un grupo de vulnerabilidades en varios servidores de correo electrónico que facilitan aún más la labor de los estafadores de Internet. El grupo de vulnerabilidades recibió el nombre de MailSploit, y quitan las pocas protecciones efectivas que evitan que los cibercriminales envíen correos fraudulentos (phishing) a sus usuarios.

El investigador Sabri Haddouche descubrió la vulnerabilidad en 30 servidores de correo, incluyendo Apple Mail, Mozilla Thunderbird, Microsoft Mail, Outlook 2016, Yahoo! Mail, ProtonMail y otros. Al eliminar las protecciones anti-phishing más efectivas como el mecanismo DMARC, Mailsploit deja vía libre a los atacantes para que, por ejemplo, envíen correos electrónicos que parezcan provenir de la cuenta de correo de su preferencia. Para demostrar el alcance del peligro, el investigador envió un correo que parecía provenir de potus@whitehouse.gov, la cuenta de correos oficial del presidente de los Estados Unidos.

Haddouche recordó lo fácil que era cambiar el encabezado de los correos electrónicos en los años 90 para hacer creer a los destinatarios que los correos que recibían provenían de cualquier otra persona. La protección DMARC (DKIM / SPF) y los filtros de spam pusieron un freno a estas amenazas, pero esta vulnerabilidad es como retroceder en el tiempo. “Ahora se puede burlar la protección DMARC y falsificar el remitente como si fuese 1999”, dijo Haddouche.

El investigador explicó que, como todos los encabezados de correo electrónico sólo pueden tener caracteres ASCII, “el truco está en usar RFC-1342 (¡de 1992!), que ofrece un modo de cifrar caracteres que no son ASCII dentro de los encabezados de correo electrónico de tal modo que no confundan a los MTAs (Agentes de Transferencia de Correos) que procesan el mensaje”. “Por desgracia, la mayoría de los clientes de correo electrónico e interfaces web no realizan una limpieza profunda de la cadena de caracteres después de decodificarlos, lo que hace posible este ataque de falsificación de correos”.

Haddouche se ha puesto en contacto con todas las compañías afectadas hace un mes para advertirles sobre la vulnerabilidad. Algunas de ellas, como Yahoo Mail, ProtonMail y HushMail ya han lanzado un parche para la vulnerabilidad. Otras, como Apple y Microsoft siguen desarrollando una solución para el problema. Sin embargo, al gran mayoría todavía no ha dado ninguna respuesta al investigador o, peor aun, compañías como Mozilla y Opera han confirmado que no elaboraran ningún parche porque lo consideran un problema externo a sus propios servidores.

Mientras el problema se resuelve, Haddouche ha elaborado y compartido una lista completa de los servidores afectados por MailSploit y el estado de sus parches.

Fuentes

MailSploit bugs let spoofed emails bypass DMARC, spam detectors (SC Magazine, https://www.scmagazine.com/mailsploit-bugs-let-spoofed-emails-bypass-dmarc-spam-detectors/article/712043/)

‘MAILSPLOIT’ LETS HACKERS FORGE PERFECT EMAIL SPOOFS Wired

Mailsploit Allows Spoofed Mails to Fool DMARC Infosecurity Magazine