El exploit ha recibido el nombre de RopeMaker, y aunque literalmente se podría traducir por "fabricante de cuerdas" o "sogas", la realidad es que hace referencia a Remotely Originated Post-delivery Email Manipulation Attacks Keeping Email Risky. Su descubridor ha sido Francisco Ribeiro, investigador de Mimecast dedicado a la seguridad de servicios de email y cloud.
Ropemaker requiere del uso de un cliente de correo para ser llevado a cabo, no habiéndose visto afectados los webmails, o sea, las interfaces web de servicios de correo electrónico como Gmail o Outlook. Sin embargo, sí ha podido ser ejecutado sobre ordenadores que gestionaban el correo mediante aplicaciones como Apple Mail, Outlook de Microsoft Office y Mozilla Thunderbird.
El exploit se dedica a realizar abusos con CSS y HTML, dos de los componentes más básicos a la hora de desplegar contenidos en formato web. Esto incluye a los emails, que pueden ser enviados en texto plano o bien en formato HTML para poder aplicar elementos como negritas, textos de colores, tamaño y tipo de las fuentes, etc.
Debido a que el CSS puede ser almacenado de forma remota, los investigadores comentan que un atacante puede cambiar el contenido de un email a través de cambios en el CSS referenciado. Estos cambios son aplicados nada más mostrarse el email por parte del usuario, y como ya ha sido recibido, este no vuelve a pasar por los filtros y otras medidas de seguridad implementadas en o para el cliente de correo.
De momento Mimecast no ha detectado que RopeMaker haya sido explotado de forma activa. Sin embargo, muchos usuarios y empresas que usan clientes de correo tendrían que estar pendientes del contenido de los emails que reciben, además de posibles actualizaciones de las aplicaciones que pudiesen corregir o prevenir este exploit.
Fuente: The Hacker News
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!