Mailsploit: colección de vulnerabilidades para spoofing e inyección de código en emails

Mailsploit: colección de vulnerabilidades para spoofing e inyección de código en emails

Los fallos encontrados permiten saltarse las protecciones DKIM y SPF o las detecciones anti-spam de los clientes afectados, como Apple Mail, Thunderbird, Outlook para Windows o Yahoo! Mail


Mailsploit es un conjunto de vulnerabilidades que afectan a diversos clientes de correo para saltarse las medidas contra el ‘spoofing’ (suplantación de identidad) y DKIM o SPF (autenticación de los mensajes). Un listado de los clientes afectados puede encontrarse aquí, y afecta hasta a 30 diferentes.

El autor, Haddouche, habría avisado hace meses de los errores a los autores de los clientes de email afectados. Por su parte, Yahoo! Mail, Protonmail y Hushmail habrían solucionado ya sus bugs. En cambio, Apple y Microsoft seguirían afectados, encontrándose estos solucionando sus fallos. El resto de autores no habrían respondido a las advertencias de Haddouche.

Para comprobar si estamos afectados por alguno de estos fallos, el autor ha creado una web llamada www.mailsploit.com, donde es posible enviarnos a nosotros mismos mensajes de prueba donde se explotan las vulnerabilidades. Cabe recordar que, aunque los errores se encuentren ya como solucionados, éstos seguirán afectando a todos los usuarios que no hayan actualizado sus clientes.

Ejemplos de cómo se explota la vulnerabilidad en Apple Mail. Fuente: www.mailsploit.com


Muchas de estas vulnerabilidades explotan el ‘RFC-1342’, el cual es responsable de la representación de caracteres no-ascii en las cabeceras del email. Una mala implementación del estándar permite la representación y tratamiento del origen como una dirección que no es. Los errores no sólo posibilitan la suplantación de identidad y engañar la autenticación del origen: también los hay que permiten ataques de inyección de código, o XSS. Estos errores, todavía más graves si se consiguen explotar con éxito, podrían modificar el contenido de la página o incluso robar información.

Nuestra recomendación es actualizar los clientes afectados lo antes posible, o cambiar provisionalmente a uno no afectado.

Juan José Oyague
joyague@hispasec.com


Más información:
Mailsploit.com:
https://www.mailsploit.com/

“Mailsploit” lets hackers forge perfect e-mail spoofs: 

http://feeds.feedburner.com/hispasec/zCAd

Deja un comentario

Tu dirección de correo electrónico no será publicada.