ROPEMAKER攻击:可对已送达的电子邮件发起攻击
发布日期:2017-02-28大多数人都以为,电子邮件送达到收件箱后,就无需担心邮件的安全性,然而,即使送达成功,恶意攻击者仍能动手脚。
新型攻击“ROPEMAKER”
电子邮件安全提供商Mimecast本周发出警告称,近年来,黑客结合电子邮件与Web技术打破了电子邮件的安全性,包括使用PGP、SMIME发送签名和加密电子邮件。
这种新型攻击手段被称为“ROPEMAKER”,攻击者可借此在电子邮件送达后随意修改电子邮件的内容,而无需访问用户的收件箱。借助这种攻击,攻击者可用恶意链接替换已送达电子邮件中的无害链接,或编辑邮件内容嵌入恶意URL。
存在ROPEMAKER的原因
Mimecast网络安全战略师马修·加德纳表示,Mimecast未将该问题标记为产品漏洞或基本架构漏洞,因为他们认为这个问题还有待进一步讨论。电子邮件应用程序提供商可采取措施更好地保护用户免遭ROPEMAKER威胁。
加德纳指出,ROPEMAKER攻击的问题来自Outlook和Apple Mail这类基于PC的电子邮件应用程序。这类应用程序使用Web技术使电子邮件在视觉上比纯文本电子邮件更具吸引力、更具动态性。但一些基于浏览器的电子邮件客户端,例如Gmail、Outlook.com 和 icloud.com不存在这类问题。
Mimecast的研究人员在博文中表示,ROPEMAKER存在的根本原因是Web技术通常可通过网络交互操作,尤其互联网。更准确地说,两种资源彼此相距很远,但通过网络连接后能交互、相互影响。
ROPEMAKER如何攻击?
例如,在Web上,获取或参考远程控制的内容和资源通常不需要本地用户执行任何操作。组织机构使用CSS描述布局、字体、颜色和其它HTML内容功能的呈现方式,开发人员可使用CSS将内容与控制内容呈现方式的组件分开。
Mimecast表示,当用于电子邮件时,远程托管的CSS文件可让攻击者控制电子邮件的样式呈现方式和实际内容,就如同可以不断修改Web页面的文本内容、音频、图形等,利用远程托管的CSS可修改已送达的电子邮件内容。
Mimecast指出,只要电子邮件客户端自动连接到远程CSS检索电子邮件的期望“样式”,ROPEMAKER便会奏效,这是ROPEMAKER漏洞利用的核心。
Mimecast描述了攻击者可利用该问题的两种方式,其中一种方式展示了攻击者如何使用恶意URL替代无害链接。
Mimecast将另一种方式称为“矩阵漏洞利用”(Matrix Exploit):攻击者按字符发送ASCII文本矩阵,之后使用远程CSS文件控制收件人电子邮件的显示内容。
加德纳指出,“矩阵漏洞利用”即在电子邮件中传送所有可能的字符,例如A、b、B、c、C,之后添加任何想要呈现的内容,而电子邮件安全产品很难确定入站电子邮件是否是恶意的。
使用Apple Mail的电子邮件用户可通过设置阻止自动化执行远程资源,但用户很少使用这个功能。
相关资讯:
希拉里“邮件门”、贝克汉姆“邮件门”,牵出一长串黑历史,总统落选、名人形象破灭,邮件安全事件的破坏力,已经不是泄露少量信息那么简单,一旦处理不当将给企业带来...
新提出的SMTP严格传输安全(SMTP STS)能解决以上两个问题。它赋予了邮件服务提供商告知客户端应用TLS的途径,还能提示客户端验证证书,告知客户端TLS连接不...
很多苹果手机用户在手机被盗后,又遭到苹果钓鱼邮件盗取Apple ID,真是祸不单行。本文给大家介绍Apple ID被盗的严重后果以及如何识别苹果钓鱼欺诈邮件和假冒...
上周一,美国科技公司DocuSign的用户遭受一连串含有恶意文档的钓鱼邮件攻击。DocuSign表示攻击和一个早期的漏洞有关,黑客可以临时访问并渗透一些未公开的客户...
近年来由于使用 Gmail 邮件服务的用户越来越多,也日益成为钓鱼邮件的重点攻击目标。援引外媒 Lifehacker 报道,在今年早些时候 Wordfence 公司的网络安全...