ROPEMAKER удалось обойти системы защиты почтовых сервисов

image

Теги: электронная почта, ropemaker, уязвимость

Обнаружен новый способ подменны данных в письме после его доставки.

Новый сценарий атаки на электронные почтовые ящики, известный как ROPEMAKER (Remotely Originated Post-delivery Email Manipulation Attacks Keeping Email Risky), позволяет изменять содержимое сообщений электронной почты удаленно через файлы CSS.

Принцип работы сценария заключается в том, что злоумышленник отправляет жертве электронное письмо в формате HTML, но вместо того, чтобы использовать встроенный CSS-код для украшения текста, он использует файл CSS, находящийся на удаленном сервере. Смысл в том, чтобы написать и отправить изначально безвредное электронное письмо, которое пройдет через локальные сканеры в сети жертвы, поскольку изменения в содержимом письма не проверяются после его доставки.

Уязвимость впервые была описана исследователем из Mimecast Франсиско Рибейро (Francisco Ribeiro). Эксперт выделил два способа проведения атаки.

Первый называется ROPEMAKER Switch Exploit и предполагает, что злоумышленники переключат функцию отображения различных элементов CSS. Например, можно отправить электронное письмо с двумя ссылками - одной безвредной и одной на вредоносный ресурс - отобразив только безвредную. После доставки электронной почты злоумышленник может вручную изменить удаленный файл CSS, подменив отображаемую ссылку.

Второй метод называется ROPEMAKER Matrix Exploit, который полагается на наличие матриц всех символов ASCII для каждой буквы внутри электронного письма. Используя правила отображения CSS, злоумышленник может поочередно изменять видимость каждой буквы и воссоздать желаемый текст в письме в любой момент.

Обе атаки не обнаруживаются сканерами электронной почты, однако эксплойт Matrix имеет недостатки. Он создает очень громоздкие электронные письма, поскольку злоумышленникам необходимо встроить буквенно-цифровую матрицу для каждой буквы своего сообщения.

По словам исследователей, атакам ROPEMAKER подвержены исключительно почтовые клиенты. Атака не применима против почтовых web-интерфейсов.
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus