Los fallos encontrados permiten saltarse las protecciones DKIM y SPF o las detecciones anti-spam de los clientes afectados, como Apple Mail, Thunderbird, Outlook para Windows o Yahoo! Mail
Mailsploit es un conjunto de vulnerabilidades que afectan a diversos clientes de correo para saltarse las medidas contra el ‘spoofing’ (suplantación de identidad) y DKIM o SPF (autenticación de los mensajes). Un listado de los clientes afectados puede encontrarse aquí, y afecta hasta a 30 diferentes.
El autor, Haddouche, habría avisado hace meses de los errores a los autores de los clientes de email afectados. Por su parte, Yahoo! Mail, Protonmail y Hushmail habrían solucionado ya sus bugs. En cambio, Apple y Microsoft seguirían afectados, encontrándose estos solucionando sus fallos. El resto de autores no habrían respondido a las advertencias de Haddouche.
Para comprobar si estamos afectados por alguno de estos fallos, el autor ha creado una web llamada www.mailsploit.com, donde es posible enviarnos a nosotros mismos mensajes de prueba donde se explotan las vulnerabilidades. Cabe recordar que, aunque los errores se encuentren ya como solucionados, éstos seguirán afectando a todos los usuarios que no hayan actualizado sus clientes.
El autor, Haddouche, habría avisado hace meses de los errores a los autores de los clientes de email afectados. Por su parte, Yahoo! Mail, Protonmail y Hushmail habrían solucionado ya sus bugs. En cambio, Apple y Microsoft seguirían afectados, encontrándose estos solucionando sus fallos. El resto de autores no habrían respondido a las advertencias de Haddouche.
Para comprobar si estamos afectados por alguno de estos fallos, el autor ha creado una web llamada www.mailsploit.com, donde es posible enviarnos a nosotros mismos mensajes de prueba donde se explotan las vulnerabilidades. Cabe recordar que, aunque los errores se encuentren ya como solucionados, éstos seguirán afectando a todos los usuarios que no hayan actualizado sus clientes.
 |
| Ejemplos de cómo se explota la vulnerabilidad en Apple Mail. Fuente: www.mailsploit.com |
Muchas de estas vulnerabilidades explotan el ‘RFC-1342’, el cual es responsable de la representación de caracteres no-ascii en las cabeceras del email. Una mala implementación del estándar permite la representación y tratamiento del origen como una dirección que no es. Los errores no sólo posibilitan la suplantación de identidad y engañar la autenticación del origen: también los hay que permiten ataques de inyección de código, o XSS. Estos errores, todavía más graves si se consiguen explotar con éxito, podrían modificar el contenido de la página o incluso robar información.
Nuestra recomendación es actualizar los clientes afectados lo antes posible, o cambiar provisionalmente a uno no afectado.
Juan José Oyague
joyague@hispasec.com
joyague@hispasec.com
Más información:
Deja un comentario