概念研究：新型攻擊可以修改已發送的電子郵件內容

近日，據外媒報道稱，安全研究人員發現了一種新型攻擊手段，攻擊者可以通過這種簡單的電子郵件攻擊手段，在電子郵件送至用戶收件箱後，對其內容進行更改，將郵件中無害的鏈接換成惡意鏈接。

「Ropemaker」攻擊

電子郵件和雲安全提供商Mimecast公司的安全研究員Francisco Ribeiro率先發現了該攻擊手段，並將其命名為「Ropemaker」——代表「遠程操縱發送成功的電子郵件，造成電子郵件安全威脅」的一種攻擊形式。

成功利用Ropemaker攻擊，可能會允許攻擊者遠程修改由攻擊者本身發送的電子郵件的內容，例如將原本郵件中無害的鏈接替換成惡意鏈接。

即使電子郵件已經成功發送給收件人，並通過了所有必要的垃圾郵件和安全過濾器檢測，攻擊者仍然可以在無需訪問用戶計算機和電子郵件應用程序的情況下，令數億桌面電子郵件客戶端用戶暴露於惡意軟體攻擊之下。

攻擊是如何實現的？

據悉，Ropemaker攻擊利用了層疊樣式表（CSS）和超文本標記語言（HTML），而這些正是組成Internet上信息呈現方式的基本部分。

Mimecast公司高級產品營銷經理Matthew Gardiner在一篇博文中寫道，

ROPEMAKER攻擊的起源在於一些基於PC的電子郵件應用程序使用了Web技術，更具體地說是同時使用了層疊樣式表（CSS）和超文本標記語言（HTML）。雖然使用這些網路技術使電子郵件在視覺上比純文本電子郵件更具吸引力和動態性，但這也為電子郵件引入了可利用的攻擊向量。

研究人員表示，由於CSS是遠程託管的，所以攻擊者可以通過遠程啟動電子郵件來控制電子郵件的樣式呈現方式和實際內容，然後在無需訪問收件人電子郵件的情況下，將修改後的郵件呈現給用戶，所以，即便是技術再精湛的用戶也不會察覺到異常。

根據研究人員的說法，Ropemaker攻擊可以根據攻擊者的創造力發揮效用。例如，攻擊者可以將原來指向用戶的鏈接替換為惡意鏈接，該鏈接會將用戶重定位至受感染的網站，該網站旨在用惡意軟體感染用戶或竊取敏感信息，如登錄憑證以及銀行信息等。

雖然有些系統已經加入了鏈接檢測程序，防止用戶打開惡意鏈接，但是不可避免地，仍然會有用戶面臨安全隱患。

被Mimecast稱為「矩陣漏洞利用」（Matrix Exploit）的另一種攻擊場景要比「Switch Exploit」複雜的多，因此也更難以發現和防禦。

在「矩陣漏洞利用」攻擊中，攻擊者會在電子郵件中寫入文本矩陣，然後使用遠程CSS文件控制收件人電子郵件的顯示內容，從而允許攻擊者顯示任何想要呈現的內容，包括在電子郵件正文中添加惡意鏈接。

這種攻擊更難防禦，因為用戶收到的初始電子郵件不顯示任何鏈接，大多數的軟體系統不會將其標記為「惡意」。

研究人員指出，

由於電子郵件中的鏈接是在發送完成後呈現的，所以像Mimecast電子郵件網管解決方案這樣的檢測程序根本無法在頁面中找到、重寫或是檢測目標站點。因為在發送時，文件中根本沒有鏈接可供檢測。想要實現這些，需要使用遠程CSS文件，而這已經超出了當前電子郵件安全系統的能力範圍。

安全建議

Mimecast暫未將該問題標記為產品漏洞或基本架構漏洞，因為該安全公司目前暫未發現任何與Ropemaker攻擊相關的實例，但該公司認為，這並不意味著這種攻擊不會在Mimecast視野以外的地方出現，所以建議電子郵件應用程序提供商可以採取措施更好地保護用戶免遭Ropemaker攻擊威脅。

據該安全公司介紹，黑客可以使用Ropemaker繞過大多數常見的安全系統，甚至是技術精湛的用戶也能夠被攻擊者在不知情的情況下替換惡意鏈接。為了防範這種攻擊，建議用戶可以使用一些基於瀏覽器的電子郵件客戶端，例如Gmail、Outlook以及icloud等，這些客戶端目前還不受Ropemaker攻擊中的CSS漏洞影響。

但是，像Apple Mail、Microsoft Outlook以及Mozilla Thunderbird這樣的電子郵件客戶端都很容易受到Ropemaker的攻擊，但是使用Apple Mail電子郵件的用戶可以通過設置阻止自動化執行遠程資源來進行防禦，只是用戶很少使用這一功能。

本文翻譯自http://thehackernews.com/2017/08/change-email-content.html，如若轉載，請註明原文地址： http://www.4hou.com/info/news/7379.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：