Ropemaker attack aneb jak dostat maligní email skrz antispam řešení

Bezpečnostní experti z Mimecast objevili staronovou zranitelnost, no spíš bych ji označil za vlastnost HTML emailů, které lze zneužít k zaslání maligního e-mailu.

Ten prý jako benigní projde skrz nejrůznější antispamová řešení až v e-mailovém klientovi ukáže svou pravou tvář.

V zásadě se jedná jen o využití CSS uložených na serveru, které se po otevření HTML e-mailu načítají a samozřejmě, pokud dojde mezitím k jejich změně, může dojít i ke změně obsahu e-mailu.

Záleží pak jen na kreativitě útočníka, co změní, zda část anebo celý obsah e-mailu případně jen URL, které je v e-mailu uvedeno za jiné tzv. switch exploit anebo zobrazí jiný text pomocí matice tzv. matrix exploit, ale ani to není nic nového, o použití šifrovací mřížky v rámci lingvistické steganografie jsem psal již před pěti lety.

U desktop verze by se mělo navíc objevit i hlášení ohledně nutnosti stažení externích zdrojů, které mnoho uživatelů bez přemýšlení odklikává. Závažnější je, že zranitelní jsou např. uživatelé Apple Mail nebo mobilní verze MS Outlook, kde k automatickému blokování JS, CSS a obrázků nedochází.

Útok je v zásadě velice jednoduchý, stačí jen mít např. v těle emailu umístěné dva různě pojmenované div elementy a v CSS, které jsou uloženy na serveru pak u nich zaměnit hodnotu display z none na inline a je hotovo. To však předpokládá, že ke změně musí dojít krátce po odeslání daného e-mailu. Ale to není pro útočníka, který má server, na kterém jsou CSS uloženy, problém.

Že se zatím této vlastnosti aktivně nezneužívá, je celkem logické, protože útočník by musel být naivní, pokud by se spoléhal na to, že antimalware řešení bude zcela ignorovat skutečnost, že v emailu je schovaný nějaký obsah, protože už jen to je podezřelé. Mnohem pravděpodobnější je, že přes antispam řešení projde e-mail, který nebude nic schovávat.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Ropemaker attack aneb jak dostat maligní email skrz antispam řešení” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: