wechatimg299

新型攻击漏洞 ROPEMAKER 可远程截取并任意更改已送达邮件

  • 浏览次数 6211
  • 喜欢 0
  • 评分 12345

据外媒报道,英特尔安全公司 Mimecast 研究人员 Francisco Ribeiro 于 8 月 22 日发布安全警告,宣称攻击者在无需访问用户收件箱时即可利用新型攻击漏洞 ROPEMAKER 绕过安全检测,远程截取并任意更改已送达邮件。

研究人员表示,该攻击手段利用了电子邮件设计功能,允许攻击者基于 HTML 电子邮件远程更改 CSS(层叠样式表)。一旦受害者电子邮件客户端自动连接到远程 CSS(通常用于检索电子邮件类型)时,允许攻击者利用 ROPEMAKER 漏洞将合法链接替换成恶意网址,或通过更改电子邮件内容嵌入有害信息。

timg

研究显示,虽然该漏洞并不影响 Gmail、Outlook Web Access 或 iCloud 等浏览器电子邮件客户端,但 Microsoft Outlook 、Apple Mail 以及 Mozilla Thunderbird 都能成为 ROPEMAKER 漏洞牺牲品。目前,攻击者可采取以下两种方式通过远程 CSS 利用 ROPEMAKER 漏洞展开攻击活动:

第一种方式:允许攻击者调用交换机后发送远程 CSS 代码,以便将合法 URL 转换为恶意 URL。虽然这两个 URL 均以原始电子邮件发送,但攻击者可以通过远程编辑 CSS,从而在邮件中隐藏/显示特定恶意链接。

第二种方式:称为 “ 矩阵漏洞利用 ”,允许攻击者按字符发送 ASCII 文本矩阵后使用远程 CSS 控制收件人最终显示的电子邮件内容。这种攻击方法难以预防,因为电子邮件过滤服务器无法检测仅存在字符的目标网站。此外,攻击者还可通过伪装 ASCII 文本中的恶意链接,规避安全软件检测并更好的诱导受害者点击恶意网站。

目前,虽然研究人员尚未发现 ROPEMAKER 漏洞已被攻击者大规模利用,但这并不意味着攻击者没有在其他领域使用,也不意味着攻击者没有借用 ROPEMAKER 组件进行其他攻击活动。

原作者:Tom Spring,译者:青楚
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文链接。

hackernews_foot