En un reciente análisis de seguridad, se ha descubierto una técnica de explotación preocupante denominada Contrabando SMTP, que podría ser utilizada por actores de amenazas para eludir las medidas de seguridad y enviar correos electrónicos falsos con direcciones de remitente fraudulentas.
El Protocolo Simple de Transferencia de Correo (SMTP), esencial para el envío y recepción de correos electrónicos, se ha convertido en el blanco de esta nueva amenaza cibernética. Los expertos de seguridad, liderados por Timo Longin de SEC Consult, han identificado que los servidores SMTP vulnerables podrían ser abusados para enviar correos electrónicos maliciosos desde direcciones arbitrarias, permitiendo así ataques de phishing altamente dirigidos.
La técnica explota las inconsistencias en el manejo de las secuencias de fin de datos entre los servidores SMTP salientes y entrantes. Este método, inspirado en el contrabando de solicitudes HTTP, aprovecha las discrepancias en la interpretación y el procesamiento de los comandos SMTP, permitiendo a los atacantes “contrabandear” comandos arbitrarios y enviar correos electrónicos falsos que parecen provenir de remitentes legítimos.
En particular, se han identificado vulnerabilidades en los servidores de mensajería de grandes nombres como Microsoft, GMX y Cisco. Aunque Microsoft y GMX han actuado para solucionar los problemas, Cisco ha declarado que los hallazgos no constituyen una vulnerabilidad, sino una característica que no cambiará la configuración predeterminada, lo que deja a los usuarios de Cisco Secure Email expuestos al contrabando SMTP entrante.
La gravedad de esta amenaza radica en su capacidad para eludir las medidas de seguridad comunes, como la autenticación de mensajes basada en dominios (DMARC), el correo identificado con claves de dominio (DKIM) y el marco de políticas del remitente (SPF). Esto permite a los atacantes falsificar millones de dominios, haciendo que los correos electrónicos fraudulentos parezcan legítimos.
Como medida de mitigación, SEC Consult recomienda a los usuarios de Cisco cambiar su configuración de “Limpio” a “Permitir” para evitar recibir correos electrónicos falsos con comprobaciones DMARC válidas.
Esta revelación destaca la constante evolución de las amenazas cibernéticas y la necesidad crítica de que las empresas y los usuarios refuercen sus medidas de seguridad para protegerse contra ataques cada vez más sofisticados. Permanecer informado y tomar acciones preventivas se vuelve esencial en el actual panorama digital.
