Un equipo de investigadores de seguridad ha descubierto varias vulnerabilidades en varias implementaciones de verificación de firmas de correo electrónico OpenPGP y S/MIME que podrían permitir a los atacantes falsificar firmas en más de una docena de clientes de correo electrónico populares.

Los clientes de correo electrónico afectados incluyen Thunderbird, Microsoft Outlook, Apple Mail con GPGTools, iOS Mail, GpgOL, KMail, Evolution, MailMate, Airmail, K-9 Mail, Roundcube y Mailpile.

Cuando envía un correo electrónico firmado digitalmente, ofrece autenticidad e integridad de extremo a extremo de los mensajes, asegurando a los destinatarios que el correo electrónico realmente proviene de usted.

Sin embargo, los investigadores probaron 25 clientes de correo electrónico ampliamente utilizados para Windows, Linux, macOS, iOS, Android y Web y descubrieron que al menos 14 de ellos eran vulnerables a múltiples tipos de ataques prácticos en cinco categorías mencionadas a continuación, haciendo que las firmas falsificadas no se distinguieran de una válida incluso por un usuario atento.

La investigación fue realizada por un equipo de investigadores de la Universidad Ruhr de Bochum y la Universidad de Ciencias Aplicadas de Münster, que incluye a Jens Müller, Marcus Brinkmann, Damian Poddebniak, Hanno Böck, Sebastian Schinzel, Juraj Somorovsky y Jörg Schwenk.

«En nuestro escenario, asumimos dos socios de comunicación confiables, Alice y Bob, que intercambiaron de forma segura sus claves públicas PGP o certificados S/MIME», explica el equipo en un trabajo de investigación. [PDF] publicado hoy.

«El objetivo de nuestro atacante Eve es crear y enviar un correo electrónico con contenido arbitrario a Bob, cuyo cliente de correo electrónico indica falsamente que el correo electrónico ha sido firmado digitalmente por Alice».

1) Ataques CMS (C1, C2, C3, C4) – Las fallas debido al mal manejo de la sintaxis de mensajes criptográficos (CMS), el formato contenedor de S / MIME, conducen a estructuras de datos contradictorias o inusuales, como múltiples firmantes o ningún firmante.

2) Ataques API GPG (G1, G2) – Las fallas de implementación en muchos clientes de correo electrónico no analizan correctamente una amplia gama de entradas diferentes que podrían permitir a los atacantes inyectar cadenas arbitrarias en la API de línea de estado de GnuPG y registrar mensajes, engañando a los clientes para que muestren una validación de firma exitosa para claves públicas arbitrarias.

3) Ataques MIME (M1, M2, M3, M4) – Los ataques de envoltura MIME abusan de la forma en que los clientes de correo electrónico manejan los mensajes parcialmente firmados. Estos ataques permiten a los atacantes engañar a los clientes de correo electrónico para que muestren un texto sin firmar mientras verifican una firma no relacionada en otra parte (que permanece invisible).

4) Ataques de identidad (I1, I2, I3) – Estos ataques se basan en las debilidades en la vinculación de los mensajes firmados con la identidad del remitente por parte de los clientes de correo, lo que permite a los atacantes mostrar una firma válida de la identidad (ID) de un socio de comunicación confiable ubicado en el encabezado del correo.

5) Ataques de interfaz de usuario (U1) – Los ataques de reparación de la interfaz de usuario (UI) tienen éxito si los atacantes encuentran una forma de imitar, utilizando HTML, CSS o imágenes en línea, algunos elementos importantes de la interfaz de usuario de un cliente de correo electrónico que les permita mostrar un indicador de una firma válida.

A continuación se muestran los resultados de todos los ataques de suplantación de firma mencionados anteriormente probados contra varios clientes de correo electrónico para OpenPGP, donde el indicador de círculo negro completo representa «falsificación perfecta», el círculo medio negro representa «falsificación parcial» y el blanco representa «falsificación débil». . «

La siguiente tabla muestra los resultados para la verificación de la firma S/MIME:

Curiosamente, los investigadores también descubrieron que algunos ataques de falsificación de firmas de correo electrónico también se pueden usar para falsificar los resultados del descifrado, «lo que hace que el cliente de correo electrónico indique un mensaje cifrado donde, de hecho, el texto sin formato se transmitió sin cifrar».

«Nuestro modelo de atacante no incluye ninguna forma de ingeniería social. El usuario abre y lee los correos electrónicos recibidos como siempre, por lo que la capacitación en conciencia no ayuda a mitigar los ataques», dicen los investigadores.

Aunque la mayoría de estos ataques de falsificación parciales y débiles pueden detectarse al inspeccionar cuidadosamente la GUI o al hacer clic manualmente para recibir más detalles de la firma, todavía preocupa cuando una gran cantidad de usuarios y comunidades confidenciales confían en el cifrado y la verificación del correo electrónico para la autenticación.

A las vulnerabilidades en los clientes de correo electrónico se les han asignado los siguientes CVE: CVE-2018-18509, CVE-2018-12019, CVE-2018-12020, CVE-2017-17848, CVE-2018-15586, CVE-2018-15587, CVE- 2018-15588, CVE-2019-8338, CVE-2018-12356, CVE-2018-12556 y CVE-2019-728.

Los investigadores informaron sobre estas vulnerabilidades a los proveedores y desarrolladores afectados, y también sugirieron contramedidas apropiadas, que ahora se han implementado en las últimas versiones de la mayoría del software afectado.