Einführung in den ROPEMAKER Email Exploit

Die meisten Menschen gehen davon aus, dass E-Mails nach der Zustellung unveränderlich sind, wie ein physischer Brief. Ein neues E-Mail-Exploit mit dem Namen ROPEMAKER, das vom Mimecast-Forschungsteam entwickelt wurde, stellt diese Annahme auf den Kopf und untergräbt die Sicherheit und Unabstreitbarkeit von E-Mails, selbst wenn diese mit SMIME oder PGP signiert wurden. Mit Hilfe des ROPEMAKER-Exploits kann ein böswilliger Akteur den angezeigten Inhalt einer E-Mail nach Belieben ändern. So kann ein böswilliger Akteur beispielsweise eine gutartige URL mit einer bösartigen URL in einer bereits im Posteingang befindlichen E-Mail austauschen, einfachen Text in eine bösartige URL umwandeln oder beliebigen Text im Textkörper einer E-Mail bearbeiten, wann immer er will. All dies kann ohne direkten Zugriff auf den Posteingang geschehen.

In einem kürzlich veröffentlichten Sicherheitshinweis wird dies genauer beschrieben. Mimecast konnte für seine Kunden einen Schutz vor diesem Exploit einrichten und gibt auch Sicherheitsempfehlungen, die von Nicht-Kunden berücksichtigt werden können, um ihre E-Mails vor diesem Exploit zu schützen.

Was also ist ROPEMAKER?

Der Ursprung von ROPEMAKER liegt an der Schnittstelle zwischen E-Mail- und Web-Technologien, insbesondere Cascading Style Sheets (CSS) in Verbindung mit HTML. Durch die Verwendung dieser Webtechnologien sind E-Mails im Vergleich zu ihren rein textbasierten Vorgängern zwar optisch attraktiver und dynamischer geworden, doch wurde dadurch auch ein ausnutzbarer Angriffsvektor für E-Mails eingeführt.

Angreifern die Möglichkeit zu geben, einen beliebigen Aspekt der eigenen Anwendungen oder Infrastruktur fernzusteuern, ist natürlich eine schlechte Sache. Wie im ROPEMAKER-Sicherheitshinweis näher beschrieben, könnte diese Fernsteuerungsmöglichkeit böswillige Akteure in die Lage versetzen, ahnungslose Benutzer auf bösartige Websites zu leiten oder andere schädliche Folgen zu verursachen, indem sie eine Technik anwenden, die gängige Sicherheitskontrollen umgehen und selbst die sicherheitsbewusstesten Benutzer täuschen kann. ROPEMAKER könnte auf eine Art und Weise genutzt werden, die nur durch die Kreativität der Bedrohungsakteure begrenzt ist, die erfahrungsgemäß oft unbegrenzt ist.

Ändern Sie dies:

Nach der Auslieferung (ohne direkten Zugriff auf den Desktop des Benutzers):

Bislang hat Mimecast noch keine Ausnutzung von ROPEMAKER in freier Wildbahn gesehen. Wir haben jedoch gezeigt, dass er auf den meisten gängigen E-Mail-Clients und Online-E-Mail-Diensten funktioniert. In Anbetracht der Tatsache, dass Mimecast derzeit mehr als 27.000 Organisationen bedient und monatlich Milliarden von E-Mails weiterleitet, ist es sehr wahrscheinlich, dass Mimecast von dieser Art von Exploits erfahren würde, wenn sie weit verbreitet wären. Dies ist jedoch keine Garantie dafür, dass Cyberkriminelle ROPEMAKER derzeit nicht in sehr gezielten Angriffen ausnutzen .

Einzelheiten zu den von uns getesteten E-Mail-Clients, die von ROPEMAKER ausgenutzt werden können, und zu einer von Apple empfohlenen Sicherheitseinstellung für Apple Mail finden Sie im ROPEMAKER-Sicherheitshinweis.

Handelt es sich bei ROPEMAKER um eine Software-Schwachstelle, um eine Form des potenziellen Anwendungsmissbrauchs oder um einen grundlegenden Konstruktionsfehler, der sich aus der Überschneidung von Webtechnologien und E-Mail ergibt? Ist es wirklich wichtig, was es ist? Angreifern ist es sicher egal, warum ein System ausgenutzt werden kann, sondern nur, dass es ausgenutzt werden kann. Wenn Sie zustimmen, dass die Möglichkeit, dass eine E-Mail nach der Zustellung unter der Kontrolle eines böswilligen Akteurs verändert werden kann, die Wahrscheinlichkeit eines erfolgreichen E-Mail-basierten Angriffs erhöht, vereinfacht sich das Problem. Die Erfahrung lehrt uns, dass Cyberkriminelle immer auf der Suche nach der nächsten E-Mail-Angriffstechnik sind, die sie einsetzen können. Lassen Sie uns als Branche zusammenarbeiten, um die Wahrscheinlichkeit zu verringern, dass die ROPEMAKER-Methode von Cyberkriminellen genutzt wird!