Introductie van de ROPEMAKER Email Exploit

De meeste mensen leven in de veronderstelling dat e-mail na aflevering onveranderlijk is, net als een fysieke brief. Een nieuwe e-mail exploit, door het Mimecast onderzoeksteam ROPEMAKER genoemd, zet die veronderstelling op zijn kop en ondermijnt de veiligheid en onweerlegbaarheid van e-mail; zelfs voor degenen die SMIME of PGP gebruiken voor ondertekening. Met de ROPEMAKER-exploit kan een kwaadwillende de weergegeven inhoud van een e-mail naar believen wijzigen. Een kwaadwillende kan bijvoorbeeld een goedaardige URL omwisselen met een kwaadwillende in een e-mail die al in je inbox is afgeleverd, eenvoudige tekst veranderen in een kwaadwillende URL, of elke tekst in de body van een e-mail bewerken wanneer hij maar wil. Dit alles kan worden gedaan zonder directe toegang tot de inbox.

Mimecast, dat meer in detail is beschreven in een recent gepubliceerd beveiligingsadvies, heeft een verdediging tegen dit misbruik kunnen toevoegen voor onze klanten en ook beveiligingsaanbevelingen kunnen geven die door niet-klanten kunnen worden overwogen om hun e-mail tegen dit e-mail misbruik te beschermen.

Dus wat is ROPEMAKER?

De oorsprong van ROPEMAKER ligt op het kruispunt van e-mail en webtechnologieën, meer bepaald Cascading Style Sheets (CSS) gebruikt met HTML. Hoewel het gebruik van deze webtechnologieën e-mail visueel aantrekkelijker en dynamischer heeft gemaakt in vergelijking met zijn puur op tekst gebaseerde voorganger, heeft dit ook een exploiteerbare aanvalsvector voor e-mail geïntroduceerd.

Het is duidelijk dat het een slechte zaak is om aanvallers op afstand controle te geven over eender welk aspect van iemands toepassingen of infrastructuur. Zoals uitvoeriger wordt beschreven in het beveiligingsadvies ROPEMAKER , zou deze mogelijkheid tot controle op afstand kwaadwillende actoren in staat kunnen stellen onwetende gebruikers naar kwaadaardige websites te leiden of andere schadelijke gevolgen te veroorzaken met een techniek die gangbare beveiligingscontroles zou kunnen omzeilen en zelfs de meest beveiligingservaren gebruikers voor de gek zou kunnen houden. ROPEMAKER kan worden gebruikt op manieren die alleen worden beperkt door de creativiteit van de dreigers, en de ervaring leert dat die vaak onbeperkt is.

Verander dit:

Daarin, na de levering (zonder directe toegang tot het bureaublad van de gebruiker):

Tot op heden heeft Mimecast nog niet gezien dat ROPEMAKER in het wild werd uitgebuit. We hebben echter wel aangetoond dat het werkt op de meeste populaire e-mailclients en online e-maildiensten. Aangezien Mimecast momenteel meer dan 27.000 organisaties bedient en maandelijks miljarden e-mails doorstuurt, is het zeer waarschijnlijk dat Mimecast dit soort exploits zou zien als ze op grote schaal zouden worden gebruikt. Dit is echter geen garantie dat cybercriminelen momenteel geen misbruik maken van ROPEMAKER in zeer gerichte aanvallen .

Zie het beveiligingsadvies van ROPEMAKER voor bijzonderheden over e-mailclients die we hebben getest en die wel en niet door ROPEMAKER kunnen worden misbruikt, en de bijzonderheden over een beveiligingsinstelling die door Apple voor Apple Mail wordt aanbevolen.

Is ROPEMAKER een softwarekwetsbaarheid, een vorm van potentieel applicatiemisbruik/exploit, of een fundamentele ontwerpfout die het gevolg is van de kruising van webtechnologieën en e-mail? Maakt het echt uit wat het is? Het maakt aanvallers in ieder geval niet uit waarom een systeem kan worden misbruikt, alleen dat het kan. Als je het ermee eens bent dat de mogelijkheid dat een e-mail na aflevering onder de controle van een kwaadwillende kan worden gewijzigd, de kans op een succesvolle e-mailaanval vergroot, wordt de kwestie vanzelf eenvoudiger. De ervaring leert ons dat cybercriminelen altijd op zoek zijn naar de volgende aanvalstechniek voor e-mail. Laten we als branche samenwerken om de kans te verkleinen dat de ROPEMAKER-stijl van exploits enige tractie krijgt bij cybercriminelen!