Mimecast呼叫采取措施进行柜台更改游戏的电子邮件漏洞利用
根据电子邮件安全公司Mimecast的安全咨询,网络攻击者可以使用新发现的电子邮件漏洞来更改电子邮件之后通过电子邮件发送后显示的内容。
使用Exproit Dubbed Ropemaker的攻击可以避免安全控制,并提供将由目标人员行动的恶意电子邮件。
良性链接可以在交付后替换为恶意链接,而无需直接访问目标inpidual的计算机或电子邮件应用程序。
攻击者还可以使用该技术查看电子邮件何时查看电子邮件时,正在使用哪些电子邮件客户端以及用户所在的IP地址。
攻击技术的名称是远程发起的邮政发货邮件操作攻击的首字母缩写,保留电子邮件风险。
目前,易受ropemaker的最受欢迎的电子邮件客户端包括桌面和移动设备的Microsoft Outlook,桌面和移动设备的Apple邮件以及Mozilla Thunderbird。
尽管2016年底和2017年初向主要电子邮件客户供应商披露了rapemaker利用技术,但Mimecast表示,到目前为止没有通过任何受影响的电子邮件客户端申请所有者作为漏洞或潜在应用程序的潜在应用程序的一般性接受。
Mimecast Francisco Ribeiro发现的攻击方法 - 利用Web内容的属性越来越多地用于使电子邮件更具视觉上有吸引力和动态。
特别是,攻击利用了两个从彼此远程放置的资源,但是通过网络链接的事实可以互操作,并且在Web内容模型中,可以在没有直接控制的情况下获取或引用远程基于控制的和受控资源本地用户。
此功能,典型的大多数网站,通常使用远程级联样式表(CSS)启用,该表可以分离呈现和内容。
重要的是,如果由呈现诸如许多电子邮件客户端的呈现申请(例如许多电子邮件客户端)支持,则CSS文件可以用标记语言文件本地使用或远程访问网络。
关键点是,而不是仅控制电子邮件的样式,远程CSS实际上可以控制电子邮件显示,绕过大多数电子邮件安全技术。
这意味着攻击者可以使用攻击者主机的远程CSS将基于HTML的电子邮件发送到预期的受害者。MimeCast调用此方法是一个“切换漏洞”。
只要电子邮件客户端自动连接到远程CSS来检索电子邮件所需的“样式”,攻击者可以通过更改CSS来更改内容,Mimecast说。
这意味着攻击者不仅可以将恶意链接添加到电子邮件发货后,还可以在以后通过改变金融PS作为商业录制的电子邮件的稍后日期篡改。
虽然在被解决之前检查链接的电子邮件安全产品将防止不良链接,但Mimecast警告内容更改可能导致混淆和潜在的业务中断。
完整性,因此,电子邮件的非拒绝受到影响,因为如果可以随时“更改”,电子邮件不能作为可靠的商业记录。
Mimecast进一步警告说“矩阵利用”,它使用远程CSS操纵的ASCII文本的综合文本矩阵,甚至更难以防御,而不是“切换漏洞”。
在“矩阵利用”中,电子邮件本身只是一个斑点的文本,没有URL或其他特定内容,但在发布后,虽然相对大量的HTML标签和消息体的大小可以用作提示-离开。
但是,一旦将远程CSS文件更改为选择性地显示文本和URL,电子邮件客户端将呈现可点击的链接,或者在没有可点击的链接的情况下,至少会出现类似于URL的文本,因此可以很容易地提供文本被毫无戒心的用户复制和粘贴。
由于URL呈现后发布后,电子邮件网关控件无法在点击单击中找到,重写或检查目标网站,因为在交货时,不会检测到URL。
为此需要解释CSS文件,这些文件超出了当前的电子邮件安全系统的范围,因此需要电子邮件客户端软件的生产者来做更多以保护用户而不是自动加载资源,即使它们远程存储或存储根据Mimecast,依靠用户调整电子邮件客户端安全配置。
该公司表示,默认情况下,电子邮件客户端应该在自动下载外部资源之前康明德警告。
可以解决此类利用的另一个补偿控制是在代理模式下使用安全的Web网关来检查目标站点,然后允许它解析为用户。
为了防止rapemaker漏洞利用,Mimecast已为其电子邮件安全产品添加了一个功能,这些产品从所有入站电子邮件中删除了对外部来源的引用。
虽然Mimecast在每个月扫描的数十亿电子邮件中都没有看到罗波曼匠,但该公司表示没有保证网络犯罪分子目前没有利用该技术在针对性攻击上没有由Mimecast提供的组织。
除了对MIMECAST产品的修改外,唯一的机构可以防止ropemaker攻击是为了禁用HTML邮件的使用,并仅允许纯粹的文本电子邮件。
另一个解决方法是采用Web客户端,例如Gmail,Outlook.com和Icloud.com,这些客户端不受这些类型的利用影响,因为它们不支持HTML电子邮件的演示。
MIMECAST表示,通过公开分享RopeMaker的细节,希望提高安全意识并鼓励适当的行动来解决电子邮件中存在的风险。
“防御威胁研究界需要及时披露潜在的新漏洞,及时和负责任的方式,”该公司表示。
为了响应公开披露,Apple表示用户可以通过导航到邮件>首选项>查看和取消选中“在消息中加载远程内容”来禁用远程内容的加载。
Mimecast表示,尽管这与MimeCast的电子邮件保护提供的过滤器相当,但它在客户端提供的事实意味着它位于每个inpidual用户的控制下,这增加了实现风险和复杂性。
微软只会说它没有将ropemaker的裂口风格作为软件漏洞。
根据Mimecast的说法,利用如何归类是无关的,但鉴于它可能是一个游戏更换者,该公司呼吁IT行业合作,以减少骑术风格的漏洞利用的可能性与网络罪犯的牵引力
Wannacry和Petya是企业需要做一些关于这个潜在的攻击路线的事情的两个原因,称为Mimecast。
据该公司介绍,91%的网络攻击以恶意电子邮件开始,超过一半的企业已经看到2017年的网络攻击量增加,包括赎金软件,网络钓鱼和冒充欺诈。
Mimecast表示,尽管如此,不到20%的组织对他们发现和防御网络攻击的能力完全充满信心。