Новый сценарий атаки по электронной почте под названием ROPEMAKER позволяет злоумышленнику изменять содержимое электронных писем, полученных целями через удаленные файлы CSS.
ROPEMAKER – что расшифровывается как атаки с удаленным отправлением электронной почты после доставки, сохраняющие риск для электронной почты – основан на идее, что злоумышленник отправляет сообщение электронной почты в формате HTML жертве, но вместо того, чтобы использовать встроенный или встроенный код CSS для украшения текста, он использует файл CSS, загруженный с его сервера.
Цель состоит в том, чтобы написать и отправить изначально безопасное электронное письмо, которое злоумышленник впоследствии изменит, изменив содержимое файла CSS, размещенного на его сервере.
Атака ROPEMAKER обманывает существующие продукты для защиты электронной почты
Первоначальное безопасное электронное письмо проходит локальные сканеры безопасности электронной почты, установленные в целевой сети, но любые изменения в содержании электронной почты не регистрируются, когда они происходят.
Это связано с тем, что системы безопасности электронной почты не проверяют повторно электронные письма, доставленные в почтовые ящики пользователей, а только входящие электронные письма во время их доставки.
Два типа атак ROPEMAKER
Франсиско Рибейро, исследователь безопасности из Mimecast и тот, кто обнаружил эту теоретическую атаку, говорит, что он определил два метода проведения атаки ROPEMAKER.
Первый метод называется ROPEMAKER Switch Exploit и основан на том, что злоумышленники переключают функцию «отображения» различных элементов в CSS.
Например, злоумышленник может отправить электронное письмо с двумя ссылками, одной хорошей и одной плохой, и показать только хорошую. После доставки электронного письма злоумышленник может изменить удаленный файл CSS и включить плохую ссылку, скрывая хорошую.
Второй метод называется ROPEMAKER Matrix Exploit и основан на встраивании матриц всех символов ASCII для каждой буквы в электронном письме.
Используя правила отображения CSS, злоумышленник может включить видимость каждой буквы одну за другой и воссоздать текст, который он хочет отображать в электронном письме, в любое время, когда он пожелает.
Обе атаки невидимы для сканеров электронной почты, но эксплойт Matrix создает очень объемные электронные письма, так как злоумышленникам необходимо будет встроить буквенно-цифровую матрицу для каждой буквы своего сообщения, а продукты безопасности электронной почты могут быть настроены для поиска.
На момент написания Рибейро сказал, что Mimecast не обнаружил никаких атак с использованием методов ROPEMAKER, но, поскольку эксплойт в настоящее время невидим для всех продуктов для защиты электронной почты, он не исключает, что он будет развернут в дикой природе.
ROPEMAKER – это больше шумиха, чем опасность
Хотя атака выглядит устрашающей, на самом деле пользователям нечего опасаться. Это связано с тем, что большинство почтовых клиентов имеют обыкновение удалять теги заголовков для сообщений электронной почты в формате HTML, включая любые теги, вызывающие удаленные файлы CSS.
Эта практика удаления заголовков является причиной того, что большинство руководств по написанию электронных писем HTML поощряют веб-разработчиков использовать только встроенный CSS и избегать встроенного или удаленного CSS.
Mimecast, который тестировал ROPEMAKER на различных почтовых клиентах, говорит, что браузерные почтовые интерфейсы не подвержены атаке ROPEMAKER. Неудивительно, что эти интерфейсы, как известно, удаляют теги заголовков в качестве меры предосторожности, чтобы не мешать нормальным заголовкам страницы.
Более того, как отмечает один из пользователей Reddit, «эту описанную атаку будет чрезвычайно легко отфильтровать», поскольку системные администраторы могут просто заблокировать загрузку удаленных ресурсов CSS по запросу почтовых клиентов.
В общем, ROPEMAKER – это умная техника атаки, но она не так полезна в реальных сценариях.
По материалам – https://yrodu.ru/