Ropemaker-Exploit kann zugestellte E-Mails manipulieren

Publiziert am 25. August 2017 von Günter Born

Eine Ropemaker (steht für Remotely Originated Post-delivery Email Manipulation Attacks Keeping Email Risky) kann bereits zugestellte E-Mails nachträglich manipulieren, so dass diese auf Webseiten mit Schadcode verlinken.

Anzeige

Die Warnung kommt von Sicherheitsforschern, die eine eigentlich bekannte Technologie im Hinblick auf Sicherheit begutachtet haben. Es geht um die Frage, ob sich bereits zugestellte E-Mails, die im Posteingang eines Empfängers, ggf. auf einem lokalen Client, befinden, nachträglich manipuliert werden können.

Das Problem mit externen CSS

Der Exploit ist eigentlich recht einfach und ist dem Umstand geschuldet, dass moderne E-Mail-Clients wie Outlook etc. jeden Mist mitmachen und formatierte HTML-Nachrichten anzeigen können. Bei HTML-Inhalten lassen sich Cascading Style Sheets (CSS) zur Darstellung (Formatierung) verwenden – das wird auch heftig propagiert.

Nun lässt sich der CSS-Code im HTML-Dokument einbetten, oder über einen externen Link an die Rendering-Engine übergeben. Sicherheitsforscher Francisco Ribeiro vom Anbieter Minecast hat nun darauf hingewiesen, dass mit externen CSS-Dateien jedwede Manipulation möglich ist. Das Ganze ist in diesem Blog-Beitrag beschrieben.

HTML-Mail
(Quelle: Minecast)

Die Überlegung besteht darin, per Mail einen Inhalt auszuliefern, der auch einen Link auf eine externe Seite enthält. Bei der Auslieferung der E-Mail wird ein Link auf eine unverfängliche Webseite gesetzt (siehe obiger Screenshot). Die Idee ist, dass weder Virenscanner noch Benutzer Verdacht schätzen.

Anschließend wäre es für einen Angreifer recht einfach, über eine externe CSS-Datei, die auf einem von ihm kontrollierten Server liegt, den Link so zu manipulieren, dass dieser auf eine Webseite mit Schadcode zeigt. Das Zuweisen eines Links per CSS-Anweisung habe ich in einem meiner letzten HTML-Bücher, die kurz nach dem Jahr 2000 erschienen, beschrieben. Öffnet der Benutzer dann die E-Mail, wird ihm plötzlich ein Link auf eine Seite mit Schadsoftware angeboten (siehe folgender Screenshot).

(Quelle: Minecast)

Die Sicherheitsforscher schreiben, dass man das Ganze an Apple Mail mit den von Apple empfohlenen Einstellungen getestet habe. Aber auch unter Linux, Android oder Windows lässt sich diese Angriffsmethode verwenden, wie die obigen Screenshots zeigen. Virenscanner sollten das aber erkennen. Am Besten wäre es aber, auf einen Mist wie externe CSS zu verzichten und diese grundsätzlich im E-Mail-Client zu blockieren.

Anzeige

Matrix Exploit

Bei The Hacker News wird noch ein zweiter Exploit, Matrix Exploit, erwähnt, der ebenfalls von Minecast entdeckt wurde. Dort wird ein HTML-Text per Mail ausgerollt, wobei die externe CSS-Datei kontrolliert, welche HTML-Tags beim Benutzer angezeigt werden. Dann ließe sich selektiv vorgeben, ob und wann möglicherweise schädliche Inhalte angezeigt werden.

The Hacker News schreibt, dass es noch schwieriger sei, diese Art des Angriffs zu entdecken. Auch hier meine Anmerkung: Bei blockierten externen CSS entfällt dieses Angriffsszenario – und ein Virenscanner sollte den gesamten HTML-Code sowie die CSS-Anweisungen scannen (aber möglicherweise scheitern die Scanner daran).

Abschließendes Fazit

Bei den meisten E-Mail-Clients sollte sich eigentlich einstellen lassen, ob externe Inhalte zulässig sind. Beim Thunderbird geht es über Extras – Einstellungen auf der Seite Datenschutz über die Option Externe Inhalte in Nachrichten erlauben. Eine separate Option, externe CSS zu blocken, habe ich nicht gefunden.

Artikel zum Thema sind neben The Hacker News auch bei Bleeping Computer und sogar bei Spiegel Online erschienen. Bei Spiegel Online findet sich auch eine Einschätzung zur Gefährlichkeit (Apple und Microsoft reagieren gelassen, es sei ein theoretisches Szenario, welches bisher noch nicht ausgenutzt wurde, Google und Yahoo blockieren in ihren E-Mail-Postfächern grundsätzlich externe CSS).

Ähnliche Artikel:
Sicherheit: Update auf Thunderbird 52.3.0 und mehr
Sicherheitslücke in HPE Integrated Lights-out 4 (iLO 4)
Drittanbieter 0Patch für FoxIt-Sicherheitslücke
eco Verband fordert eingebaute Softwaresicherheit
Medizingeräte: (Sicherheits-)Risiko Windows 7?
Zwei kritische Sicherheitslücken im Foxit PDF Reader
Sicherheitslücke in alten Chrome-Versionen bleibt ungepatcht
Facebook-Messenger erneut als Malware-Schleuder

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Mail, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Ropemaker-Exploit kann zugestellte E-Mails manipulieren

  1. gs sagt:
    26. August 2017 um 09:37 Uhr

    mal ehrlich: html-mails waren schon immer eine Seuche, insbesondere um vom wesentlichen Inhalt einer Mail abzulenken.
    wenn man trotzdem nicht umhin kommt gibt´s für thunderbird ein praktisches add-on "allow html temp"

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.