Error en Microsoft Exchange permite ataques de suplantación de email

Iniciado por AXCESS, Septiembre 04, 2024, 12:45:19 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Septiembre 04, 2024, 12:45:19 AM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un nuevo informe de la Unidad de investigación de amenazas de Acronis ha descubierto una vulnerabilidad en la configuración de Microsoft Exchange Online que podría permitir ataques de suplantación de correo electrónico.

Este problema afecta principalmente a los usuarios con una configuración híbrida de Exchange local y Exchange Online, y a aquellos que utilizan soluciones de seguridad de correo electrónico de terceros.

En julio de 2023, Microsoft introdujo un cambio importante en la forma en que gestiona DMARC (autenticación, generación de informes y conformidad de mensajes basados en dominios) dentro de Microsoft Exchange. Esta actualización tenía como objetivo reforzar la seguridad mejorando la forma en que los servidores de correo electrónico verifican la legitimidad de los correos electrónicos entrantes. Lamentablemente, a pesar de las claras instrucciones de Microsoft, una cantidad considerable de usuarios aún no han implementado estas medidas de seguridad, lo que deja sus sistemas vulnerables a diversas amenazas cibernéticas, en particular la suplantación de correo electrónico.

Microsoft Exchange Online se puede utilizar como servidor de correo sin necesidad de servidores Exchange locales ni soluciones antispam de terceros. Sin embargo, surgen vulnerabilidades cuando Exchange Online se utiliza en entornos híbridos (donde los servidores Exchange locales se comunican con Exchange Online a través de conectores) o cuando interviene un servidor MX de terceros.

El correo electrónico sigue siendo un objetivo clave para los cibercriminales, y por eso es esencial contar con protocolos de seguridad sólidos para protegerse contra la suplantación de identidad. Se han desarrollado tres protocolos críticos para este propósito: Sender Policy Framework (SPF) verifica si un servidor de correo está autorizado a enviar correo electrónico en nombre de un dominio mediante registros DNS; DomainKeys Identified Mail (DKIM) permite firmar digitalmente los correos electrónicos, verificando que se originan en un servidor autorizado y confirmando la autenticidad del dominio del remitente; y Domain-based Message Authentication, Reporting, and Conformance (DMARC) determina cómo deben manejarse los correos electrónicos que no superan las comprobaciones SPF o DKIM, especificando acciones como el rechazo o la cuarentena para mejorar la seguridad del correo electrónico.

Para comprender cómo funcionan juntos los protocolos de seguridad de correo electrónico, considere un flujo de correo electrónico típico: el servidor A inicia una solicitud DNS para localizar el servidor Mail Exchange (MX) del dominio del destinatario (por ejemplo, No tienes permitido ver enlaces. Registrate o Entra a tu cuenta), luego envía un correo electrónico desde "No tienes permitido ver enlaces. Registrate o Entra a tu cuenta" a "No tienes permitido ver enlaces. Registrate o Entra a tu cuenta" a través de uno de los servidores MX (servidor B). Luego, el servidor B verifica el correo electrónico comprobando si se origina en un servidor autorizado (verificación SPF), asegurándose de la presencia de una firma DKIM válida y siguiendo las acciones especificadas por la política DMARC del dominio. Si el servidor A no aparece en los registros SPF, no tiene una firma DKIM válida o si la política DMARC está configurada en "Rechazar", el servidor B debe rechazar el correo electrónico. Sin embargo, si el servidor receptor está mal configurado, estas comprobaciones de seguridad pueden omitirse, lo que permite que se entregue el correo electrónico y plantea un riesgo de seguridad significativo.

En un entorno híbrido, el asistente de configuración híbrida de Exchange generalmente crea conectores de entrada y salida estándar para facilitar el intercambio de datos entre Exchange Online y los servidores Exchange locales. Sin embargo, pueden ocurrir configuraciones incorrectas, especialmente si los administradores no son conscientes de los riesgos potenciales o no logran bloquear su organización de Exchange Online para aceptar correo solo de fuentes confiables.

Los conectores de entrada desempeñan un papel fundamental a la hora de determinar cómo gestiona el servidor Exchange los correos electrónicos entrantes. En entornos híbridos, los administradores deben asegurarse de que los conectores correctos estén instalados y configurados correctamente. Esto incluye la creación de un conector de socio con direcciones IP o certificados específicos para garantizar que solo se acepten correos electrónicos de fuentes de confianza. Sin estas medidas de seguridad, los conectores de entrada mal configurados podrían permitir que correos electrónicos maliciosos eludan los controles de seguridad, lo que podría provocar riesgos.

Al utilizar un servidor MX de terceros, es esencial configurar la instancia de Exchange Online de acuerdo con las recomendaciones de Microsoft. Si no lo hace, puede exponer a la organización a ataques de suplantación de identidad, ya que los correos electrónicos pueden eludir controles de seguridad críticos como DMARC, SPF y DKIM.

Por ejemplo, si el registro MX del dominio del destinatario del inquilino apunta a una solución de seguridad de correo electrónico de terceros en lugar de a la de Microsoft, no se aplicarán las políticas de DMARC. Como resultado, es posible que se entreguen correos electrónicos de fuentes no verificadas, lo que aumenta el riesgo de ataques de suplantación de identidad y phishing.

Para protegerse contra la suplantación de correo electrónico y los riesgos relacionados, los administradores deben fortalecer su entorno Exchange siguiendo los siguientes pasos clave:

Crear conectores de entrada adicionales siguiendo las pautas de Microsoft para restringir los correos electrónicos entrantes a fuentes confiables.

Implementar un filtrado mejorado para los conectores para aplicar controles de seguridad adicionales.

Implementar prevención de pérdida de datos (DLP) y reglas de transporte para evitar correos electrónicos no autorizados y proteger la información confidencial.

Realizar auditorías de seguridad periódicas para garantizar que las configuraciones del servidor Exchange se alineen con las prácticas de seguridad más recientes.

Fuente:
TechRadar
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario