5 min de lectura Por Excello Mail Team

CVE-2026-45185 'Dead.Letter': Un Solo Byte Fuera de Lugar le Da a un Atacante Control Total de su Servidor de Correo

Una falla crítica de ejecución remota de código no autenticada en Exim, uno de los agentes de transferencia de correo más utilizados en internet, fue corregida en mayo de 2026 después de que investigadores descubrieran que un solo byte mal sincronizado podía corromper la memoria durante un protocolo de enlace TLS. Si el servidor de correo saliente es lo que el atacante compromete, DMARC ya no tiene nada que verificar.

Investigadores de XBOW revelaron una vulnerabilidad crítica en Exim, apodada Dead.Letter y catalogada como CVE-2026-45185, que permite a un atacante no autenticado ejecutar código arbitrario en un servidor de correo enviando un único byte fuera de lugar en el momento exacto de un protocolo de enlace TLS. Exim es uno de los agentes de transferencia de correo de código abierto más utilizados en internet y el MTA predeterminado en Debian, Ubuntu y otras distribuciones de Linux derivadas de Debian. La vulnerabilidad tiene una puntuación CVSS de 9.8, no requiere credenciales ni interacción del usuario, y fue corregida en Exim 4.99.3 el 12 de mayo de 2026. Toda conversación sobre DMARC parte de la suposición de que la infraestructura que envía su correo está bajo su control. Este fallo es un recordatorio de que esa suposición hay que ganársela mediante la actualización de parches, no darla por sentada.

Cómo Funciona el Fallo

El problema está en cómo Exim procesa los cuerpos de mensaje enviados con el comando BDAT, parte de la extensión CHUNKING de SMTP, cuando el TLS de la conexión es manejado por GnuTLS. Durante un cierre normal de TLS, Exim libera el búfer que usó para contener los datos TLS entrantes. El problema es que una rutina anidada de recepción BDAT puede seguir en curso cuando eso ocurre, y termina llamando a una función que escribe un carácter, un único salto de línea, en la memoria que acaba de liberarse. Esa escritura de un byte cae sobre los datos internos de contabilidad del asignador de memoria del heap, corrompiéndolos de una manera que le da al atacante un punto de apoyo para construir un exploit más completo. Para activarlo, un atacante solo necesita abrir una conexión TLS al servidor, iniciar una transferencia de mensaje BDAT, enviar una alerta TLS close_notify antes de que termine la transferencia, y seguirla con un byte más en texto plano en la misma conexión TCP. Cada parte de esa secuencia, las conexiones TLS y la extensión CHUNKING, está habilitada de forma predeterminada en la mayoría de las instalaciones de Exim expuestas a internet.

Quién Está Expuesto

La vulnerabilidad afecta a las versiones de Exim desde la 4.97 hasta la 4.99.2, pero solo a las compilaciones hechas con USE_GNUTLS=yes. Las instalaciones que enlazan con OpenSSL en lugar de GnuTLS no son vulnerables a esta ruta específica. Esa distinción concentra la exposición real en Debian, Ubuntu y otras distribuciones que empaquetan Exim con GnuTLS como backend TLS predeterminado, lo cual describe a una gran parte de las organizaciones pequeñas y medianas que operan su propio servidor de correo saliente en lugar de una plataforma gestionada. Exim 4.99.3, lanzado el 12 de mayo de 2026, reinicia la pila de procesamiento de entrada cuando llega una alerta close_notify durante una transferencia BDAT activa, lo que cierra la ventana de sincronización específica de la que depende este fallo.

Por Qué Esto Importa para DMARC

DMARC, SPF y DKIM se sostienen sobre una misma suposición compartida: que los servidores listados en su registro SPF y que guardan sus claves privadas DKIM son operados únicamente por personas en quienes su organización confía. Un fallo de ejecución remota de código no autenticado en el propio servidor de correo rompe esa suposición desde su base, no desde sus bordes. Un kit de phishing o una cuenta de empleado comprometida todavía tienen que sortear DMARC desde fuera de su infraestructura. Un atacante que logra ejecutar código en su servidor Exim mediante Dead.Letter no está sorteando nada. Está dentro de la infraestructura que su registro SPF ya autoriza y junto a las claves DKIM en las que su dominio ya confía. El correo enviado desde ese servidor tras un exploit exitoso lleva una firma DKIM real, se origina desde una dirección IP que su propio registro SPF permite, y pasa limpiamente la alineación DMARC en cualquier destinatario que la verifique, porque según toda medida técnica que DMARC aplica, ese correo realmente vino de su infraestructura autorizada. El compromiso ocurrió una capa por debajo de donde DMARC llega a mirar.

Qué Deben Hacer los Defensores

Actualizar a Exim 4.99.3 de inmediato. Un fallo con puntuación CVSS 9.8 que no requiere autenticación ni interacción del usuario, en software que por diseño está expuesto directamente a internet, debe tratarse como un cambio de emergencia, no como una ventana de mantenimiento rutinaria.

Verificar si su compilación realmente usa GnuTLS. Ejecutar exim -bV muestra las opciones de tiempo de compilación, incluyendo qué biblioteca TLS se usó. Los despliegues en Debian y Ubuntu deben asumir que están afectados hasta que ese comando demuestre lo contrario.

Vigilar caídas inexplicadas de Exim como señal temprana. Un intento de explotación de un use-after-free suele hacer caer el proceso objetivo antes de que un atacante lo refine hasta lograr una ejecución de código confiable. Un aumento en los reinicios o fallos de segmentación de Exim vinculados a sesiones SMTP merece investigarse aunque nada más parezca fuera de lugar todavía.

Auditar la integridad de las claves DKIM después de aplicar el parche. Si su servidor de correo estuvo expuesto a internet y sin parchear durante la ventana de exposición, confirme que sus claves privadas DKIM no fueron accedidas ni reemplazadas, y rótelas si existe alguna duda.

La Conclusión

La aplicación de DMARC protege la afirmación de que un mensaje provino de infraestructura autorizada por el dueño del dominio. Esa protección solo significa algo si la infraestructura misma no ha sido entregada silenciosamente a otra persona. Dead.Letter es un recordatorio de que mantener actualizado su agente de transferencia de correo no es un punto aparte en la lista junto a DMARC, SPF y DKIM. Es la condición previa que hace que esos tres protocolos valgan la pena tener en primer lugar.


Excello Mail le da visibilidad continua sobre sus reportes agregados de DMARC y sobre cada fuente autorizada a enviar como su dominio, para que el correo inesperado proveniente de su propia infraestructura sea más fácil de detectar a tiempo. Regístrese gratis en Excello Mail para mantener esa visibilidad mientras su equipo mantiene actualizado Exim, Postfix o lo que sea que opere su correo saliente.