Підміна даних в електронному листі після його доставки.

 

Придумано спосіб, завдяки якому можна підміни вміст електронного листа після його доставки адресату.
Новий сценарій атаки на електронні поштові скриньки, відомий як ROPEMAKER (Remotely Originated Post-delivery Email Manipulation Attacks Keeping Email Risky), дозволяє змінювати вміст повідомлень електронної пошти віддалено завдяки файлам CSS.
Принцип роботи сценарію полягає в тому, що зловмисник відправляє жертві електронного листа в форматі HTML, але замість того, щоб використовувати вбудований CSS-код для відображення тексту, він використовує файл CSS, що знаходиться на віддаленому сервері. Сенс у тому, щоб написати і відправити спочатку нешкідливий електронний лист, який успішно пройде через локальні сканери в мережі, так як зміни в середині листа не перевіряються після його доставки.
Уразливість вперше була описана дослідником з Mimecast Франсіско Рібейро (Francisco Ribeiro). Експерт виділив два способи проведення атаки.
Перший називається ROPEMAKER Switch Exploit і передбачає, що зловмисники переключать функцію відображення різних елементів CSS. Наприклад, можна відправити повідомлення електронної пошти з двома посиланнями – одне нешкідливе, а друге на шкідливий ресурс, відобразивши тільки нешкідливе. Після доставки електронної пошти зловмисник може вручну змінити віддалений файл CSS, підмінивши посилання, що відображається.
Другий метод називається ROPEMAKER Matrix Exploit, який полягає у наявності матриць всіх символів ASCII для кожної літери всередині електронного листа. Використовуючи правила відображення CSS, зловмисник може по черзі змінювати видимість кожної букви і відтворити бажаний текст в листі в будь-який момент.
Обидві атаки не виявляються сканерами електронної пошти, однак експлойт Matrix має недоліки. Він створює дуже громіздкі електронні листи, оскільки зловмисникам необхідно вбудувати буквено-цифрову матрицю для кожної літери свого повідомлення.
За словами дослідників, атакам ROPEMAKER схильні виключно поштові клієнти. Атака не може бути застосована проти поштових web-інтерфейсів.
Даний тип атак був успішно протестований на веб-клієнтах для настільних ПК так мобільних платформ Microsoft Outlook, Apple Mail та Mozilla Thunderbird.

Як захиститись від експлуатації ROPEMAKER?

Один із варіантів це звичайно перейти на web-клієнт, але таке рішення підходить не для всіх.
Наступним рішенням, на жаль, досить грубим, є відключенням використання HTML-пошти і дозволити лише текстові електронні листи.

Хоча, насправді, не потрібно сильно хвилюватись, оскільки більшість клієнтів електронної пошти мають функції автоматичного вилучення тегів заголовків для електронних листів у форматі HTML, включаючи будь-які теги, що посилаються до віддалених CSS-файлів. Головне не відключати такі функції і не дозволяти віддалений вміст.

 

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *