ROPEMAKER удалось обойти системы защиты почтовых сервисов

Обнаружен новый способ подменны данных в письме после его доставки.

Новый сценарий атаки на электронныепочтовыеящики, известный как ROPEMAKER (Remotely Originated Post-delivery Email Manipulation Attacks Keeping Email Risky), позволяет изменять содержимое сообщений электронной почты удаленночерез файлы CSS.

Принцип работы сценария заключается в том, что злоумышленник отправляет жертве электронное письмо в формате HTML, но вместо того, чтобы использовать встроенный CSS-код для украшения текста, он использует файл CSS, находящийся на удаленном сервере. Смысл в том, чтобы написать и отправить изначально безвредное электронное письмо, которое пройдет через локальные сканеры в сети жертвы, поскольку изменения в содержимомписьма не проверяютсяпосле его доставки.

Уязвимость впервые была описанаисследователемиз MimecastФрансиско Рибейро (Francisco Ribeiro).Экспертвыделилдва способапроведения атаки.

Первый называется ROPEMAKER Switch Exploit и предполагает, что злоумышленники переключат функцию отображения различных элементов CSS. Например, можно отправить электронное письмо с двумя ссылками – одной безвреднойи одной на вредоносный ресурс – отобразив только безвредную. После доставки электронной почты злоумышленник может вручную изменить удаленный файл CSS, подменив отображаемую ссылку.

Второй метод называется ROPEMAKER Matrix Exploit, который полагается на наличие матриц всех символов ASCII для каждой буквы внутри электронного письма. Используя правила отображения CSS, злоумышленник может поочередно изменять видимость каждой буквы и воссоздать желаемый текст в письмев любой момент.

Обе атаки не обнаруживаются сканерамиэлектронной почты, однако эксплойт Matrix имеет недостатки. Он создает очень громоздкие электронные письма, поскольку злоумышленникам необходимо встроить буквенно-цифровую матрицу для каждой буквы своего сообщения.

По словам исследователей, атакам ROPEMAKER подвержены исключительно почтовые клиенты. Атака не применима против почтовых web-интерфейсов.