¿El ataque Ropemaker permite a los hackers convertir un correo electrónico aparentemente inofensivo en un malicioso después de que ya se ha entregado a la bandeja de entrada de la víctima?

¿Qué pasa con una técnica que podría permitir a un atacante convertir un correo electrónico aparentemente inofensivo en uno malicioso después de que ya ha sido entregado a la bandeja de entrada de correo electrónico de la víctima?

La técnica existe y fue llamada Ropemaker (remotamente originó ataques de manipulación de correo electrónico después de entregado manteniendo el correo electrónico riesgoso), por Francisco Ribeiro, un investigador de seguridad en Mimecast que lo descubrió.

El atacante utiliza el ataque Ropemaker para modificar de forma remota el contenido de un correo electrónico que envió después de que el correo electrónico ya se haya entregado al destinatario. El atacante, por ejemplo, puede cambiar una URL incrustada evadiendo los filtros de seguridad y spam.

El ataque Ropemaker abusa de las hojas de estilo en cascada (CSS) y del Lenguaje de Marcado de Hipertexto (HTML) que son partes fundamentales de la forma en que se presenta la información en Internet.

“Entonces, ¿qué es ROPEMAKER?”

El origen de ROPEMAKER se encuentra en la intersección de las tecnologías de correo electrónico y Web, más específicamente en las hojas de estilo en cascada (CSS) utilizado con HTML. Aunque el uso de estas tecnologías web ha hecho que el correo electrónico sea visualmente más atractivo y dinámico en relación con su predecesor puramente basado en el texto, esto también ha introducido un vector de ataque explotable para el correo electrónico. “explicó el Gerente de marketing de productos Senior de Mimecast, Matthew Gardiner.”

El ataque ROPEMAKER aprovecha el hecho de que CSS se almacena de forma remota, por lo que un atacante puede cambiar el contenido de un correo electrónico a través de cambios remotos en el “CSS” deseado utilizado para el contenido del correo electrónico que se presenta al usuario.

El ataque Ropemaker podría ser explotado de varias maneras, por ejemplo, los atacantes podrían reemplazar una dirección URL que apunte a un sitio web legítimo por uno malicioso que redirija al usuario a un sitio web comprometido ó a uno de phishing.

Otro escenario de ataque fue llamado “Matrix exploit” por Mimecast, el cual ve que los atacantes escriben una matriz de texto en un correo electrónico y luego utilizan el control remoto CSS para controlar selectivamente lo que se muestra. Con este truco, el atacante puede mostrar cualquier texto en el contenido del correo electrónico, incluyendo URLs maliciosas. Esta forma de ataque ROPEMAKER es muy difícil de detectar porque el correo electrónico recibido por la víctima no muestra ninguna URL.

“Dado que la URL se procesa después de la entrega, una solución de pasarela de correo electrónico como Mimecast no puede encontrar, volver a escribir o inspeccionar el sitio de destino en un clic, porque en el momento de la entrega no habría URL para detectar”, se lee en el informe del ataque ROPEMAKER. “Para hacerlo, se requeriría la interpretación de los archivos CSS, que está más allá del alcance de los actuales sistemas de seguridad del correo electrónico”.

Los expertos no excluyen que el ataque sea “utilizado fuera de la vista de Mimecast”. Los expertos de Mimecast explicaron que los clientes de correo electrónico basados en la Web como Gmail, iCloud y Outlook no se ven afectados por exploits de estilo CSS de Ropemaker, mientras que los clientes de correo electrónico como la versión de escritorio y móvil de Apple Mail, Microsoft Outlook y Mozilla Thunderbird son vulnerables al ataque de Ropemaker.

Fuente: Security Affairs

Anuncios