ROPEMAKER攻击：可对已送达的电子邮件发起攻击

发布日期：2017-02-28

大多数人都以为，电子邮件送达到收件箱后，就无需担心邮件的安全性，然而，即使送达成功，恶意攻击者仍能动手脚。

新型攻击“ROPEMAKER”

电子邮件安全提供商Mimecast本周发出警告称，近年来，黑客结合电子邮件与Web技术打破了电子邮件的安全性，包括使用PGP、SMIME发送签名和加密电子邮件。

这种新型攻击手段被称为“ROPEMAKER”，攻击者可借此在电子邮件送达后随意修改电子邮件的内容，而无需访问用户的收件箱。借助这种攻击，攻击者可用恶意链接替换已送达电子邮件中的无害链接，或编辑邮件内容嵌入恶意URL。

存在ROPEMAKER的原因

Mimecast网络安全战略师马修·加德纳表示，Mimecast未将该问题标记为产品漏洞或基本架构漏洞，因为他们认为这个问题还有待进一步讨论。电子邮件应用程序提供商可采取措施更好地保护用户免遭ROPEMAKER威胁。

加德纳指出，ROPEMAKER攻击的问题来自Outlook和Apple Mail这类基于PC的电子邮件应用程序。这类应用程序使用Web技术使电子邮件在视觉上比纯文本电子邮件更具吸引力、更具动态性。但一些基于浏览器的电子邮件客户端，例如Gmail、Outlook.com 和 icloud.com不存在这类问题。

Mimecast的研究人员在博文中表示，ROPEMAKER存在的根本原因是Web技术通常可通过网络交互操作，尤其互联网。更准确地说，两种资源彼此相距很远，但通过网络连接后能交互、相互影响。

ROPEMAKER如何攻击?

例如，在Web上，获取或参考远程控制的内容和资源通常不需要本地用户执行任何操作。组织机构使用CSS描述布局、字体、颜色和其它HTML内容功能的呈现方式，开发人员可使用CSS将内容与控制内容呈现方式的组件分开。

Mimecast表示，当用于电子邮件时，远程托管的CSS文件可让攻击者控制电子邮件的样式呈现方式和实际内容，就如同可以不断修改Web页面的文本内容、音频、图形等，利用远程托管的CSS可修改已送达的电子邮件内容。

Mimecast指出，只要电子邮件客户端自动连接到远程CSS检索电子邮件的期望“样式”，ROPEMAKER便会奏效，这是ROPEMAKER漏洞利用的核心。

Mimecast描述了攻击者可利用该问题的两种方式，其中一种方式展示了攻击者如何使用恶意URL替代无害链接。

Mimecast将另一种方式称为“矩阵漏洞利用”(Matrix Exploit)：攻击者按字符发送ASCII文本矩阵，之后使用远程CSS文件控制收件人电子邮件的显示内容。

加德纳指出，“矩阵漏洞利用”即在电子邮件中传送所有可能的字符，例如A、b、B、c、C，之后添加任何想要呈现的内容，而电子邮件安全产品很难确定入站电子邮件是否是恶意的。

使用Apple Mail的电子邮件用户可通过设置阻止自动化执行远程资源，但用户很少使用这个功能。

ROPEMAKER攻击：可对已送达的电子邮件发起攻击

数字证书

技术支持

关于沃通

旗下网站