El investigador de seguridad Sabri Haddouche ha descubierto una serie de vulnerabilidades que se refiere colectivamente como Mailsploit y que permiten a un atacante suplantar identidades de correo electrónico.
El verdadero problema es el ataque de suplantación de correo electrónico que evita todos los mecanismos de protección anti-spoofing modernas como DMARC (DKIM / SPF) o varios filtros de spam.Esto permite a los malhechores enviar mensajes de correo electrónico con identidades falsificadas que los usuarios y los servidores de correo electrónico tienen dificultad para detectar como falsificaciones. Esto, a su vez, hace que los ataques de phishing y correos electrónicos cargados de malware mucho más difícil de detectar.
¿Cómo funciona Mailsploit?
La vulnerabilidad se debe a la forma en que Mailsploit servidores de correo electrónico interpretan direcciones de correo electrónico codificados con RFC-1342. Esta es una norma adoptada en 1992 que describe una manera de codificar los caracteres no ASCII dentro de encabezados de correo electrónico.Por regla general, todo el contenido incluido en un encabezado de correo electrónico debe estar en ASCII. Los autores de las normas adoptadas por correo electrónico RFC-1342 para convertir automáticamente los caracteres no ASCII a caracteres ASCII estándar y evitar errores cuando los correos electrónicos con una línea de asunto no ASCII o dirección de correo electrónico pasa a través de un servidor.
Haddouche descubrió que un gran número de clientes de correo electrónico tomaría una cadena codificada RFC-1342, decodificarlo a su estado no-ASCII, pero no se desinfectar después para comprobar si hay código malicioso.
Por otra parte, si la cadena de correo electrónico RFC-1342-decodificado contenía un byte nulo o dos o más direcciones de correo electrónico, el cliente de correo electrónico leería sólo la dirección de correo electrónico antes de que el byte nulo, o la primera válida de correo electrónico que encontró.
Esto significa que un atacante puede crear una dirección de correo electrónico válida, cuyo nombre de usuario es en realidad una cadena codificada-RFC-1342:
De: ? = UTF-8 b?? cG90dXNAd2hpdGVob3VzZS5nb3Y =? ==? UTF-8? Q? = 00? ==? UTF-8? B? cG90dXNAd2hpdGVob3VzZS5nb3Y =? = @ mailsploit.com
...el que se decodifica el interior de un cliente de correo electrónico a:
De: potus @ whitehouse.gov \ 0 ( potus @ whitehouse.gov) @ mailsploit.com
Clientes de correo electrónico vulnerables análisis sintáctico estas cadenas leerá sólo el primer correo electrónico (potus@whitehouse.gov), ignorando el dominio de correo electrónico real (@ mailsploit.com). La razón, como se explicó anteriormente, es la nula bytes (\ 0) o porque potus@whitehouse.gov es la primera dirección de correo electrónico válida los encuentros con clientes, e ignora el resto de la cadena.
33 clientes y servicios de correo electrónico afectados
Haddouche ha descubierto los defectos Mailsploit a principios del 2017 y dice que probó varios clientes de correo electrónico y servicios web para ver que eran vulnerables.A pesar de ponerse en contacto con todos los clientes y servicios de correo electrónico vulnerables en privado, el investigador dice que sólo 8 de los 33 parches publicados para corregir la dirección de correo electrónico de errores de análisis.
Mozilla y Opera dijo desde el primer momento que no van a corregir el error porque consideran que es un tema del lado del servidor.
DMARC no detectará la suplantación de correo electrónico
Lo que es peor, correos electrónicos codificados direcciones a través del método Mailsploit no parecen sospechoso a los servidores de correo electrónico modernos ejecutan protocolos anti-spoofing como DMARC."DMARC no es atacado directamente, sino que pasa por alto mediante el aprovechamiento de cómo los clientes visualizar el nombre del remitente de correo electrónico", explica Haddouche. "El servidor todavía valida correctamente la firma DKIM del dominio original y no la falsa"."Esto hace que estos correos electrónicos falsificados prácticamente imparable en este punto en el tiempo," dijo Haddouche.
Mailsploit también se puede ejecutar código en algunas máquinas
Por otra parte, los mismos defectos Mailsploit que permiten a los atacantes ocultan múltiples direcciones de correo electrónico dentro del correo electrónico "De:" también les permiten paquete de código malicioso real.Algunos clientes de correo web que hacen un trabajo muy pobre en el saneamiento de la cadena decodificada se ejecutará esta carga útil y ejecutar código malicioso en el ordenador del usuario, como XSS y otros ataques de inyección de código.
La buena noticia es que no todos los clientes son vulnerables a la falsificación de correo electrónico a través de los defectos Mailsploit son vulnerables a los ataques de inyección de código, es decir, algún tipo de filtrado dirección de correo electrónico básico se lleva a cabo en algunos casos.
Fecha actualización el 2021-12-05. Fecha publicación el 2017-12-05. Categoría: Exploit. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer