Si avete letto bene: il ricercatore Francisco Ribeiro della Mimecast ha scoperto un exploit che permetterebbe di modificare il contenuto di una email anche quando questo è già stata ricevuta dal destinatario nel proprio computer.
Questo rende possibile, ad esempio, di modificare o inserire una URL malevola nella mail e non richiede l’accesso diretto al computer o al client di posta. L’exploit quindi permette di bypassare tutti quei filtri anti-spam, antivirus ecc. che normalmente controllano la posta in entrata.
Come funziona
Il funzionamento richiede che l’email sia codificata in HTML e viene fatto un abuso del codice CSS: infatti il codice CSS si connette ad internet per consentire la corretta visualizzazione della email, un attaccante può inserirsi in questa richiesta e modificare lo stile della email stessa, potendo a piacere inserire un link maligno al fine di far visitare un sito malevolo o scaricare un file maligno nel computer dell’ignaro utente.
Non è ancora chiaro se questo tipo di attacco sia stato già utilizzato in qualche operazione mirata verso infrastrutture o simili. D’altronde la portata di un exploit del genere riguarda una vastissima utenza e va a colpire tra i più famosi client di posta che risultano “vulnerabili” a questo exploit.
Matrix Exploit: il secondo attacco
Un altro tipo di attacco evidenziato dalla Mimecast è il “Matrix Exploit” ovvero l’attaccante può scrivere una matrice di testo (ASCII) e poi, tramite CSS, selezionare cosa l’utente può vedere e cosa NON deve vedere, anche in questo caso potendo inserire o modificare un collegamento URL malevolo.
L’exploit Ropemaker può esser utilizzato, secondo i ricercatori, anche usando un attacco di tipo Man-In-The-Middle, intercettando quindi una richiesta remota in essere verso un server CSS.
Come stare al sicuro?
Mimecast suggerisce, finché non sarà trovata una soluzione, di utilizzare i web-client delle email come Gmail, iCloud e Outlook che non sono toccati da questo exploit, invece i client desktop come Apple Mail, Microsoft Outlook e Mozilla Thunderbird sono vulnerabili a questo tipo di attacco.
In aggiunta l’azienda di Cloud Security ha affermato di aver avvertito Microsoft ed Apple già lo scorso anno di questo exploit, ricevendo risposte ove veniva indicato come un problema NON reale e che l’utente (parola di Apple) poteva disabilitare il caricamento di contenuti remoti nel proprio client di posta.
Vedremo adesso se dopo la pubblicazione di questi dettagli si muoverà qualcosa e se verranno rilasciati aggiornamenti di sicurezza.
Approfondimenti e fonte: