新型攻击漏洞 ROPEMAKER 可远程截取并任意更改已送达邮件

据外媒报道，英特尔安全公司 Mimecast 研究人员 Francisco Ribeiro 于 8 月 22 日发布安全警告，宣称攻击者在无需访问用户收件箱时即可利用新型攻击漏洞 ROPEMAKER 绕过安全检测，远程截取并任意更改已送达邮件。

研究人员表示，该攻击手段利用了电子邮件设计功能，允许攻击者基于 HTML 电子邮件远程更改 CSS（层叠样式表）。一旦受害者电子邮件客户端自动连接到远程 CSS（通常用于检索电子邮件类型）时，允许攻击者利用 ROPEMAKER 漏洞将合法链接替换成恶意网址，或通过更改电子邮件内容嵌入有害信息。

研究显示，虽然该漏洞并不影响 Gmail、Outlook Web Access 或 iCloud 等浏览器电子邮件客户端，但 Microsoft Outlook 、Apple Mail 以及 Mozilla Thunderbird 都能成为 ROPEMAKER 漏洞牺牲品。目前，攻击者可采取以下两种方式通过远程 CSS 利用 ROPEMAKER 漏洞展开攻击活动：

第一种方式：允许攻击者调用交换机后发送远程 CSS 代码，以便将合法 URL 转换为恶意 URL。虽然这两个 URL 均以原始电子邮件发送，但攻击者可以通过远程编辑 CSS，从而在邮件中隐藏/显示特定恶意链接。

第二种方式：称为 “ 矩阵漏洞利用 ”，允许攻击者按字符发送 ASCII 文本矩阵后使用远程 CSS 控制收件人最终显示的电子邮件内容。这种攻击方法难以预防，因为电子邮件过滤服务器无法检测仅存在字符的目标网站。此外，攻击者还可通过伪装 ASCII 文本中的恶意链接，规避安全软件检测并更好的诱导受害者点击恶意网站。

目前，虽然研究人员尚未发现 ROPEMAKER 漏洞已被攻击者大规模利用，但这并不意味着攻击者没有在其他领域使用，也不意味着攻击者没有借用 ROPEMAKER 组件进行其他攻击活动。

原作者：Tom Spring，译者：青楚
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文链接。