大多數人都以為,電子郵件送達到收件箱后,就無需擔心郵件的安全性,然而,即使送達成功,惡意攻擊者仍能動手腳。
新型攻擊“ROPEMAKER”電子郵件安全提供商Mimecast本周發出警告稱,近年來,黑客結合電子郵件與Web技術打破了電子郵件的安全性,包括使用PGP、SMIME發送簽名和加密電子郵件。
這種新型攻擊手段被稱為“ROPEMAKER”,攻擊者可借此在電子郵件送達后隨意修改電子郵件的內容,而無需訪問用戶的收件箱。借助這種攻擊,攻擊者可用惡意鏈接替換已送達電子郵件中的無害鏈接,或編輯郵件內容嵌入惡意URL。
Mimecast網絡安全戰略師馬修·加德納表示,Mimecast未將該問題標記為產品漏洞或基本架構漏洞,因為他們認為這個問題還有待進一步討論。電子郵件應用程序提供商可采取措施更好地保護用戶免遭ROPEMAKER威脅。
加德納指出,ROPEMAKER攻擊的問題來自Outlook和Apple Mail這類基于PC的電子郵件應用程序。這類應用程序使用Web技術使電子郵件在視覺上比純文本電子郵件更具吸引力、更具動態性。
但一些基于瀏覽器的電子郵件客戶端,例如Gmail、Outlook.com 和 icloud.com不存在這類問題。
Mimecast的研究人員在博文中表示,ROPEMAKER存在的根本原因是Web技術通常可通過網絡交互操作,尤其互聯網。更準確地說,兩種資源彼此相距很遠,但通過網絡連接后能交互、相互影響。
例如,在Web上,獲取或參考遠程控制的內容和資源通常不需要本地用戶執行任何操作。組織機構使用CSS描述布局、字體、顏色和其它HTML內容功能的呈現方式,開發人員可使用CSS將內容與控制內容呈現方式的組件分開。
Mimecast表示,當用于電子郵件時,遠程托管的CSS文件可讓攻擊者控制電子郵件的樣式呈現方式和實際內容,就如同可以不斷修改Web頁面的文本內容、音頻、圖形等,利用遠程托管的CSS可修改已送達的電子郵件內容。
Mimecast指出,只要電子郵件客戶端自動連接到遠程CSS檢索電子郵件的期望“樣式”,ROPEMAKER便會奏效,這是ROPEMAKER漏洞利用的核心。
Mimecast描述了攻擊者可利用該問題的兩種方式,其中一種方式展示了攻擊者如何使用惡意URL替代無害鏈接。
Mimecast將另一種方式稱為“矩陣漏洞利用”(Matrix Exploit):攻擊者按字符發送ASCII文本矩陣,之后使用遠程CSS文件控制收件人電子郵件的顯示內容。
加德納指出,“矩陣漏洞利用”即在電子郵件中傳送所有可能的字符,例如A、b、B、c、C,之后添加任何想要呈現的內容,而電子郵件安全產品很難確定入站電子郵件是否是惡意的。
使用Apple Mail的電子郵件用戶可通過設置阻止自動化執行遠程資源,但用戶很少使用這個功能。
京公網安備 11010502049343號