Ropemaker convierte emails legítimos en maliciosos tras recibirlos el destinatario
Investigadores en seguridad están avisando del descubrimiento de un nuevo exploit que podría permitir a un atacante modificar un email legítimo para volverlo malicioso, incluso después de que este haya llegado a la bandeja de entrada del destinatario.
El exploit ha recibido el nombre de Ropemaker, y aunque literalmente se podría traducir por “fabricante de cuerdas” o “sogas”, la realidad es que hace referencia a Remotely Originated Post-delivery Email Manipulation Attacks Keeping Email Risky. Su descubridor ha sido Francisco Ribeiro, investigador de Mimecast dedicado a la seguridad de servicios de email y cloud.
A través de la explotación de Ropemaker, un atacante puede modificar de forma remota el contenido de un email enviado por él mismo, pudiendo por ejemplo sustituir una URL benigna por otra maliciosa. Lo más preocupante es que, como ya hemos comentado, el exploit puede ser ejecutado tras recibir el destinatario el email, después de superar todos los filtros de spam y seguridad y sin que el atacante necesite acceder directamente al ordenador de la víctima.
Ropemaker requiere del uso de un cliente de correo para ser llevado a cabo, no habiéndose visto afectados los webmails, o sea, las interfaces web de servicios de correo electrónico como Gmail o Outlook. Sin embargo, sí ha podido ser ejecutado sobre ordenadores que gestionaban el correo mediante aplicaciones como Apple Mail, Outlook de Microsoft Office y Mozilla Thunderbird.
El exploit se dedica a realizar abusos con CSS y HTML, dos de los componentes más básicos a la hora de desplegar contenidos en formato web. Esto incluye a los emails, que pueden ser enviados en texto plano o bien en formato HTML para poder aplicar elementos como negritas, textos de colores, tamaño y tipo de las fuentes, etc.
Debido a que el CSS puede ser almacenado de forma remota, los investigadores comentan que un atacante puede cambiar el contenido de un email a través de cambios en el CSS referenciado. Estos cambios son aplicados nada más mostrarse el email por parte del usuario, y como ya ha sido recibido, este no vuelve a pasar por los filtros y otras medidas de seguridad implementadas en o para el cliente de correo.
Mimecast ha decidido llamar a este tipo de exploits “Matrix Exploit” (exploit en matriz), el cual resulta más sofisticado y difícil de detectar que un “Switch Exploit” (exploit de cambio). Un atacante puede escribir una matriz de texto dentro de un email y luego usar un CSS remoto para controlar la forma de desplegarlo, permitiéndole cambiar un contenido benigno por otro malicioso dentro del código HTML.
De momento Mimecast no ha detectado que Ropemaker haya sido explotado de forma activa. Sin embargo, muchos usuarios y empresas que usan clientes de correo tendrían que estar pendientes del contenido de los emails que reciben, además de posibles actualizaciones de las aplicaciones que pudiesen corregir o prevenir este exploit.
Fuente: The Hacker News
Via: muyseguridad.net