Especialistas en seguridad reportan la detección de al menos 40 fallas de seguridad en un popular mecanismo de cifrado cuya explotación habría permitido a los actores de amenazas desplegar ataques Man-in-The-Middle (MiTM) con el fin de falsificar contenido del buzón y robar credenciales de usuario.
Estas vulnerabilidades fueron identificadas en múltiples implementaciones de STARTTLS gracias al trabajo de un grupo de investigadores que presentaron sus hallazgos ene l simposio de seguridad USENIX. Después de realizar un escaneo de seguridad, los investigadores encontraron alrededor de 320,000 servidores email vulnerables a estos ataques.
Como algunos usuarios recordarán, STARTTLS es una forma de TLS oportunista que permite la transición o actualización de protocolos de comunicación email como SMTP, POP3 e IMAP de una conexión de texto sin formato a una conexión cifrada.
Las vulnerabilidades afectarían a toda clase de clientes populares, incluyendo Apple Mail, Mozila Thunderbird, Gmail, Mutt, Mail.ru, Samsung Email y Yandex. Cabe mencionar que un ataque exitoso requiere que los hackers puedan modificar las conexiones establecidas entre clientes y servidores email, además de que deberán contar con credenciales de inicio de sesión.
Según el reporte, la actualización de las conexiones a través de STARTTLS es frágil y se ve expuesta a múltiples variantes de ataque. Estas condiciones permiten a los actores de amenazas inyectar comandos de texto sin formato que un servidor podría interpretar como si fueran parte del conexión cifrad, desencadenando en el robo de credenciales con los protocolos IMAP y SMTP.
Un segundo escenario de ataques permitiría la falsificación del buzón insertando un comando adicional en el mensaje del servidor en respuesta al comando STARTTLS antes del protocolo de enlace TLS. Esto engañaría al cliente para que procese los comandos del servidor como si fueran parte de la conexión cifrada.
Los investigadores recomiendan a los usuarios configurar sus clientes email para usar SMTP, POP3 e IMAP con TLS implícito en puertos dedicados (como el puerto 465, puerto 995 y puerto 993 respectivamente), además de solicitar a los desarrolladores de aplicaciones cliente y servidor email a ofrecer TLS implícita de forma predeterminada, en lo que los investigadores definieron como una inyección de respuesta.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.