ROPEMAKER cho phép kẻ tấn công chỉnh sửa nội dung email, kể cả khi email đã được gửi đi

By | 2:46 pm | 24/08/2017

its-not-just-the-ransom-youre-losing

Hầu hết mọi người đều nghĩ rằng email sẽ không thể thay đổi sau khi đã được gửi đi. Tuy nhiên một khai thác mới có tên là ROPEMAKER của nhóm nghiên cứu Mimecast cho phép kẻ tấn công có thể thay đổi nội dung được hiển thị trong email theo ý muốn. Ví dụ, kẻ tấn công có thể thay thế một URL bình thường trong email đã được gửi đi thành công thành mã độc, hoặc chỉnh sửa văn bản bất kỳ trong email mình gửi đi bất cứ khi nào họ muốn ngay cả đối với người dùng sử dụng SMIME hoặc PGP để ký. Tất cả những điều này có thể thực hiện mà không cần truy cập trực tiếp vào Hộp thư đến nạn nhân.

ROPEMAKER () lợi dụng công nghệ CSS được sử dụng với HTML. Mặc dù việc sử dụng công nghệ web này làm cho email trở nên hấp dẫn và năng động hơn, nhưng nó lại là điểm mà kẻ tấn công có thể lợi dụng để khai thác.

Việc kẻ tấn công kiểm soát từ xa bất kỳ khía cạnh nào của ứng dụng hoặc cơ sở hạ tầng đều là không tốt. ROPEMAKER giúp cho kẻ tấn công có khả năng hướng nạn nhân tới các trang web độc hại hoặc gây ra hậu quả khác.

Có hai phương pháp thực hiện cuộc tấn công ROPEMAKER:

Phương pháp đầu tiên là Switch Exploit, kẻ tấn công chuyển đổi chức năng “display” của CSS.

Ví dụ: kẻ tấn công gửi email với hai liên kết, một liên kết Good và một liên kết Bad; rồi chỉ hiển thị liên kết Good. Sau mail được gửi đi, kẻ tấn công có thể sửa đổi tệp tin CSS từ xa và enable liên kết Bad trong khi ẩn đi liên kết Good.

finger3

Dưới đây là một email gốc:

switch-email-goodurl---edited-002

Thay đổi email đã được gửi đến nạn nhân mà không cần truy cập trực tiếp vào Hộp thư đến:

switch-email-badurl---edited-002

Phương pháp thứ hai là Matrix Exploit, dựa vào việc nhúng một ma trận chứa tất cả ký tự ASCII cho mỗi chữ trong email.

Bằng cách sử dụng các quy tắc hiển thị CSS, kẻ tấn công có thể thay đổi khả năng hiển thị của mỗi chữ cái, từng cái một và tạo lại văn bản muốn xuất hiện trong email bất kỳ lúc nào hắn ta muốn.

finger7

Mức độ ảnh hưởng và khuyến nghị:

Mimecast hiện phục vụ hơn 27000 tổ chức và chuyển hàng tỷ email mỗi tháng. Theo Mimecast, ROPEMAKER vẫn chưa được khai thác trong thực tế, tuy nhiên ROPEMAKER hoạt động trên hầu hết các email client và các dịch vụ email trực tuyến hiện nay, do vậy không đảm bảo rằng kẻ tấn công sẽ không sử dụng chúng trong các cuộc tấn công nhắm mục tiêu sắp tới.

Mimecast đã thử nghiệm trên các email client và kết quả cho thấy ROPEMAKER ảnh hưởng đến:

  • Microsoft Outlook cả trên máy tính để bàn và di động
  • Apple Mail cả trên máy tính để bàn và di động
  • Mozilla Thunderbird

Tuy nhiên sử dụng email trên các trình duyệt web như Gmail, iCloud và Outlook thì không bị ảnh hưởng bởi các khai thác ROPEMAKER.