Un nuevo informe de la Unidad de investigación de amenazas de Acronis ha descubierto una vulnerabilidad en Microsoft Configuraciones de Exchange Online que podrían permitir ataques de suplantación de correo electrónico.
Este problema afecta principalmente a los usuarios con una configuración híbrida de Exchange local y Exchange Online, y a aquellos que utilizan soluciones de seguridad de correo electrónico de terceros.
En julio de 2023, Microsoft introdujo un cambio importante en la forma en que gestiona DMARC (Domain-based Message Authentication, Reporting, and Conformance) dentro de Microsoft Exchange. Esta actualización tenía como objetivo reforzar la seguridad mejorando la forma en que los servidores de correo electrónico verifican la legitimidad de los correos electrónicos entrantes. Desafortunadamente, a pesar de las claras instrucciones de Microsoft, una cantidad considerable de usuarios aún no han implementado estas medidas de seguridad, lo que deja sus sistemas vulnerables a varias amenazas cibernéticas, en particular la suplantación de correo electrónico.
Cómo una configuración incorrecta genera vulnerabilidades
Microsoft Exchange Online se puede utilizar como servidor de correo sin necesidad de servidores Exchange locales ni soluciones antispam de terceros. Sin embargo, surgen vulnerabilidades cuando Exchange Online se utiliza en entornos híbridos (donde los servidores Exchange locales se comunican con Exchange Online a través de conectores) o cuando interviene un servidor MX de terceros.
Correo electrónico El correo electrónico sigue siendo un objetivo clave para los cibercriminales, y por eso es esencial contar con protocolos de seguridad sólidos para protegerse contra la suplantación de identidad. Se han desarrollado tres protocolos críticos para este propósito: Sender Policy Framework (SPF) verifica si un servidor de correo está autorizado a enviar correo electrónico en nombre de un dominio mediante registros DNS; DomainKeys Identified Mail (DKIM) permite firmar digitalmente los correos electrónicos, verificando que se originan en un servidor autorizado y confirmando la autenticidad del dominio del remitente; y Domain-based Message Authentication, Reporting, and Conformance (DMARC) determina cómo deben manejarse los correos electrónicos que no pasan las verificaciones SPF o DKIM, especificando acciones como el rechazo o la cuarentena para mejorar la seguridad del correo electrónico.
Para entender cómo funcionan juntos los protocolos de seguridad de correo electrónico, considere un flujo de correo electrónico típico: el servidor A inicia una solicitud de DNS para localizar el servidor Mail Exchange (MX) del dominio del destinatario (por ejemplo, nuestraempresa.com), luego envía un correo electrónico desde “usuario@empresa.com” a “usuario2@nuestraempresa.com” a través de uno de los servidores MX (servidor B). Luego, el servidor B verifica el correo electrónico verificando si se origina en un servidor autorizado (verificación SPF), asegurándose de la presencia de una firma DKIM válida y siguiendo las acciones especificadas por la política DMARC del dominio. Si el servidor A no está incluido en los registros SPF, carece de una firma DKIM válida o si la política DMARC está configurada en “Rechazar”, el servidor B debe rechazar el correo electrónico. Sin embargo, si el servidor receptor está mal configurado, estas comprobaciones de seguridad pueden omitirse, lo que permite que se entregue el correo electrónico y plantea un riesgo de seguridad significativo.
En un entorno híbrido, el asistente de configuración híbrida de Exchange normalmente crea conectores de entrada y salida estándar para facilitar el intercambio de datos entre Exchange Online y los servidores Exchange locales. Sin embargo, pueden producirse errores de configuración, especialmente si los administradores no son conscientes de los posibles riesgos o no bloquean su organización de Exchange Online para que acepte correo solo de fuentes de confianza.
Los conectores de entrada desempeñan un papel fundamental a la hora de determinar cómo gestiona el servidor Exchange los correos electrónicos entrantes. En entornos híbridos, los administradores deben asegurarse de que se hayan instalado y configurado correctamente los conectores correctos. Esto incluye la creación de un conector de socio con direcciones IP o certificados específicos para garantizar que solo se acepten correos electrónicos de fuentes de confianza. Sin estas medidas de seguridad, los conectores de entrada mal configurados podrían permitir que correos electrónicos maliciosos eludan los controles de seguridad, lo que podría provocar posibles ataques.
Al utilizar un servidor MX de terceros, es esencial configurar la instancia de Exchange Online de acuerdo con Recomendaciones de MicrosoftDe no hacerlo, la organización puede quedar expuesta a ataques de suplantación de identidad, ya que los correos electrónicos pueden eludir controles de seguridad críticos como DMARC, SPF y DKIM.
Por ejemplo, si el registro MX del dominio del destinatario del inquilino apunta a una solución de seguridad de correo electrónico de terceros en lugar de a la de Microsoft, no se aplicarán las políticas DMARC. Como resultado, es posible que se entreguen correos electrónicos de fuentes no verificadas, lo que aumenta el riesgo de ataques de suplantación de identidad y phishing.
Para protegerse contra la suplantación de correo electrónico y los riesgos relacionados, los administradores deben fortalecer su entorno Exchange tomando las siguientes medidas clave:
- Cree conectores entrantes adicionales siguiendo las pautas de Microsoft para restringir los correos electrónicos entrantes a fuentes confiables.
- Implementar un filtrado mejorado para que los conectores apliquen controles de seguridad adicionales.
- Implemente prevención de pérdida de datos (DLP) y reglas de transporte para evitar correos electrónicos no autorizados y proteger información confidencial.
- Realice auditorías de seguridad periódicas para garantizar que las configuraciones del servidor Exchange se alineen con las últimas prácticas de seguridad.