Butlletí de seguretat de MailSploit Desembre 2017 Sumari 1. Resum executiu ...............................................................................................................3 2. Descripció .........................................................................................................................3 3. Impacte .............................................................................................................................3 4. Mesures ............................................................................................................................4 5. Referències ......................................................................................................................4 2 1. Resum executiu S’ha publicat una vulnerabilitat anomenada MailSploit que afecta a més de 30 clients de correu electrònic i permet a un atacant enviar un correu electrònic que mostri una adreça remitent arbitrària al destinatari. 2. Descripció El 5 de Desembre de 2017, es va fer pública una vulnerabilitat, anomenada MailSploit, que permet a un atacant enviar un correu electrònic que mostri una adreça remitent arbitrària al destinatari. Aquesta nova vulnerabilitat s’introdueix degut a que la majoria dels clients de correu electrònic i les interfícies web no tracten adequadament la cadena després de la descodificació i això permet la realització amb èxit d’aquest atac de falsificació de correu electrònic. Per exemple, introduint la següent direcció intencionadament dissenyada fa que en iOS i en macOS (Mail.app) mostrin al destinatari del correu electrònic l’adreça ‘[email protected]' en comptes de la real: From: =?utf-8?b?${base64_encode('[email protected]')}?==?utf-8?Q?=00?==?utf- 8?b?${base64_encode('([email protected])')}[email protected] Cal destacar que els mecanismes de “anti-spoofing” com SPF, DKIM o DMARC no son efectius amb aquesta vulnerabilitat ja que aquesta es ocasionada per com tracten dels dades del “From” en l’aplicació. 3. Impacte L’impacte d’aquesta vulnerabilitat és alt, ja que permet realitzar un atac on es suplanta el camp “from” d’un correu electrònic i permet realitzar atacs d’enginyeria social elaborats degut a que els mecanismes de “anti-spoofing” no son efectius. Apart, afecta a una gran quantitat de productes: Clients Mail: Apple Mail.app (MACOS, IOS) Claws Mail / Sylpheed (WINDOWS) TypeApp (ANDROID, IOS) 3 Mozilla Thunderbird ≤ 52.5.0 Spark ≤ 1.4.1.392 (MACOS) AquaMail (ANDROID) (MACOS, WINDOWS) Mail for Windows 10 (WINDOWS) Spark (IOS) Opera Mail (MACOS, WINDOWS) MACOS, MACOS, Microsoft Outlook 2016 ( ProtonMail (ANDROID IOS) Postbox ≤ 5.0.18 ( WINDOWS) WINDOWS) ANDROID, MACOS, Yahoo! Mail (IOS) Polymail (MACOS) Newton ( WINDOWS) Yahoo! Mail (ANDROID) Airmail ≤ 3.3.3 (MACOS) Guerrilla Mail (ANDROID) Email Exchange + by OE Classic (WINDOWS) BlueMail ≤ 1.9.2.62 (ANDROID) MailWise (ANDROID) AOL Mail (ANDROID) Mailbird (WINDOWS) eM Client (WINDOWS) ANDROID, SeaMonkey ≤ 2.4.8 8 TouchMail (WINDOWS) Gmail / Inbox by Gmail ( IOS) (MACOS, WINDOWS) Clients Mail Web: Yahoo! Mail (new interface in Hushmail Microsoft Office 365 beta) Openmailbox.org Mailfence Gmail Open Xchange (Mailbox.org, Microsoft Outlook Web Fastmail Namecheap Private Email...) ProtonMail Microsoft Exchange 2016 GMX / Mail.com / 1&1 4. Mesures Per solucionar aquesta vulnerabilitat s’ha d’actualitzar el client de mail a l’última versió disponible i seguir les indicacions del fabricant. 5. Referències MailSploit: https://www.mailsploit.com 4 .