Un descubrimiento reciente del CERT ha revelado vulnerabilidades en varios servidores SMTP, lo que permite a los usuarios autenticados y a ciertas redes de confianza enviar correos electrónicos con información de remitente falsificada.

Estas vulnerabilidades, CVE-2024-7208 y CVE-2024-7209, explotan debilidades en los mecanismos de autenticación y verificación proporcionados por Sender Policy Framework (SPF) y Domain Key Identified Mail (DKIM). Mediante las vulnerabilidades, se evita la autenticación, informe y conformidad de mensajes basada en dominios (DMARC), que se basa en SPF y DKIM, lo que permite a los atacantes eludir las medidas de seguridad y falsificar las identidades de los remitentes.

Aquí se encuentra la lista de servicios y proveedores afectados.

Descripción técnica de las vulnerabilidades

Las vulnerabilidades se derivan de la inseguridad inherente del protocolo SMTP, como se describe en RFC 5321 #7.1. Los registros SPF están diseñados para identificar redes IP autorizadas para enviar correos electrónicos en nombre de un dominio. Al mismo tiempo, DKIM proporciona una firma digital para verificar partes específicas del mensaje retransmitido por SMTP.

Según el informe de CERT, DMARC combina estas capacidades para mejorar la seguridad del correo electrónico. Sin embargo, los investigadores han descubierto que muchos servicios de correo electrónico que alojan varios dominios no verifican adecuadamente al remitente autenticado con sus identidades de dominio permitidas.

• CVE-2024-7208: Permite que un remitente autenticado suplante la identidad de un dominio compartido alojado, evadiendo las políticas DMARC, SPF y DKIM.
• CVE-2024-7209: Explota los registros SPF compartidos en proveedores de alojamiento multiusuario, lo que permite a los atacantes utilizar la autorización de red para suplantar la identidad de correo electrónico del remitente.

Este descuido permite a los atacantes autenticados falsificar identidades en el encabezado del mensaje de correo electrónico, enviando correos electrónicos como cualquier persona dentro de los dominios alojados.

El impacto de estas vulnerabilidades es significativo. Un atacante autenticado puede explotar la autenticación de red o SMTP para falsificar la identidad de una instalación de alojamiento compartido, eludiendo las políticas de DMARC y los mecanismos de verificación del remitente.

Esto podría conducir a una suplantación generalizada de identidad por correo electrónico, socavando la confianza en las comunicaciones por correo electrónico y potencialmente causando graves daños financieros y de reputación a las organizaciones afectadas.

Los proveedores de alojamiento de dominios que ofrecen servicios de retransmisión de correo electrónico deben implementar medidas de verificación más estrictas. Deben asegurarse de que la identidad de un remitente autenticado se verifique con identidades de dominio autorizadas.

Los proveedores de servicios de correo electrónico también deben utilizar métodos confiables para verificar que la identidad del remitente de la red (MAIL FROM) y el encabezado del mensaje (FROM:) sean consistentes.

Los propietarios de dominios deben tomar medidas estrictas para garantizar que su política DMARC basada en DNS (DKIM y SPF) proteja la identidad del remitente y a sus usuarios y marcas de los abusos causados ​​por la suplantación de identidad. Si se espera que un dominio proporcione una alta seguridad de identidad, el propietario del dominio debe utilizar su propia función DKIM, independientemente del proveedor de alojamiento, para reducir el riesgo de ataques de suplantación de identidad.

Fuente: Cyber Security News