zurück zur Übersicht

Ropemaker: Galgenstrick per E-Mail?

Sie haben es sicher mitbekommen: Die letzten Tage gab es [wieder einmal] einen kleinen Eklat über die Sicherheit von E-Mails. Eine neue Schwachstelle sei gefunden worden.

Keine E-Mail, heißt es, sei nun mehr sicher.

Doch ist wirklich etwas dran an der Aussage? Wie kritisch ist die Schwachstelle nun eigentlich für Unternehmen? Handelt es sich dabei überhaupt um eine Schwachstelle im klassischen Sinne? Der Beantwortung dieser Fragen widmet sich der heutige Artikel.

Dass eine E-Mail – wenn abgeschickt –  nun gar nicht so unveränderbar ist, wie die meisten Menschen annehmen, dürfte mit diesem Exploit, genannt Ropemaker (ein Akronym für Remotely Originated Post-delivery Email Manipulation Attacks Keeping Email Risky), bewiesen worden sein. Laut den Sicherheitsforschern von Mimecast kann damit sogar der angezeigte Inhalt von E-Mails manipuliert werden, welche sich bereits im Posteingang des Opfers befinden.

Konkret wird hierbei ein Feature im Zusammenspiel mit extern hinterlegtem CSS (Cascading Style Sheets) Inhalt in HTML basierten E-Mails ausgenutzt. Wenn nun des E-Mail Empfängers Mail Client sich mit externen CSS Dateien verbindet (ein gewöhnlicher Vorgang beim Aufrufen der E-Mail um die Ausrichtung und Gestaltung der E-Mail darzustellen) könnte ein Angreifer die E-Mail im Nachgang verändern. So könnte man beispielsweise in der E-Mail einen gänzlich anderen Inhalt einblenden oder gar gutartige Links mit bösartigen Links austauschen und somit einen Benutzer beispielsweise auf eine Phishing – Webseite locken. Wichtig zu wissen ist hierbei, dass die Attacke nicht den eigentlichen Inhalt der übermittelten E-Mail verändert, sondern nur das was dem Benutzer letztendlich angezeigt wird.

Der Seiler kommt auf zwei verschiedenen Wegen

Hierbei gibt es laut Mimecast zwei Wege Ropemaker zu exploiten. Die erste Möglichkeit besteht darin, einen sogenannten „Switch Exploit“ zu nutzen um eine in der E-Mail angezeigte gutartige URL auszutauschen. In der gesendeten Original E-Mail werden beide URLs, die gutartige und die bösartige hinterlegt. Verbindet sich nun der E-Mail Client mit der externen CSS-Datei und interpretiert diese, kann die Anzeige der URL einfach vertauscht werden.

Die zweite Möglichkeit ist weitaus raffinierter: Hierbei wird –neben der eigentlichen E-Mail- ein wirrer Haufen ASCII Text, Zeichen für Zeichen in einer Art Matrix mit der E-Mail mitgesendet. Die Remote Funktionen des CSS erlauben anschließend dem Angreifer die Zeichen ein-und auszublenden die das Opfer letztendlich sehen soll. Diese Form des Exploits können auch moderne E-Mail-Filtering Systeme nicht erkennen und somit die E-Mail nicht als schadhaft identifizieren, da es sich ausschließlich um ASCII Code handelt. Die dafür nötige Interpretation von CSS Dateien liegt außerhalb der Schutzfunktionen selbst moderner E-Mail-Security Systeme. (Warum die neuen Systeme trotzdem mehr als einen Blick wert sind, zeigt dieser Beitrag sehr schön)

Ropemaker bei der Arbeit: die E-Mail ohne externe CSS-Datei wirkt harmlos....
Ropemaker bei der Arbeit: die E-Mail mit blockierter externer CSS-Datei wirkt harmlos….

... bis über die CSS-Datei nicht nur Formatierungen sondern auch Inhalte nachgeladen werden (Matrix Exploit)
… bis über die CSS-Datei nicht nur Formatierungen sondern auch Inhalte nachgeladen werden

Sie werden sich nun vielleicht denken: „Kein Problem wir nutzen sowieso PGP, S/MIME oder DKIM zur E-Mail Verschlüsselung, da kann ja nichts passieren!“

Diese Annahme ist leider falsch. Moderne E-Mail Verschlüsselungstechnologien schützen die Integrität einer E-Mail zwar auf dem Weg vom Sender zum Empfänger oder wenn die E-Mail abgelegt ist. In diesem Fall greift  diese Maßnahme aber nicht: Schließlich bleibt der Inhalt der E-Mail unberührt. Lediglich die extern nachgeladene CSS wird geändert, um zu manipulieren, wie die E-Mail beim Empfänger dargestellt wird.

Ist das Ganze nun wirklich so kritisch wie es klingt und wie kann sich ein Unternehmen vor solch einem Angriff schützen?

Wir teilen hierbei die Einschätzung und Auffassung von Mimecast. Ropemaker ist gleichzeitig eine Art Software Schwachstelle, eine Form des potenziellen Missbrauchs von Applikationen und – in erster Linie – ein grundlegendes Designproblem in der Implementierung von CSS basierten HTML-E-Mails.

Dies bedeutet leider auch, dass ein „Patchen“ dieser Art von Schwachstelle nicht ohne weiteres möglich ist.

Ropemaker wird bisher noch nicht genutzt

Es gibt auch gute Nachrichten: Bisher sei die Schwachstelle laut Mimecast nämlich noch nicht ausgenutzt worden. Das Unternehmen überwacht den E-Mail Verkehr von mehr als 27.000 Unternehmen und leitet Milliarden von E-Mails jeden Monat über seine Server weiter.

Um sich in Ihrem Unternehmen vor der Möglichkeit einer solchen Attacke zu schützen, empfehlen wir folgende Schutzfunktionen Ihrer Sicherheitsanwendungen zu überprüfen:

  • Ihr E-Mail-Security Gateway sollte die Steuerbarkeit von ankommenden E-Mails über externe CSS-Dateien blockieren. Meist wird die Funktion „Load remote content in messages“ genannt und kann deaktiviert werden.
  • Die gleiche Einstellung sollte im Outlook Client der Benutzer verändert werden. Das nachladen von externem Inhalt kann blockiert werden.
  • In hochkritischen Umgebungen kann es sogar sinnvoll sein, E-Mails ausschließlich in „Plain-Text“ darzustellen. Dadurch wird die HTML und CSS Formatierung komplett blockiert, es kommt also nur noch reiner Text an.
  • Sollte der Exploit ausgenutzt werden, hilft ein Webproxy mit URL Filtering um schadhafte E-Mail Links (z.B. zu css-Dateien) zu analysieren und letztendlich zu blockieren.

Privatanwender weniger gefährdet

Für Privatanwender und User von Browser Mailclients wird diese Art des Angriffes in vielen Fällen ohnehin nicht funktionieren. E-Mail Programme akzeptieren nämlich meist nur dann mit CSS formatierte E-Mails, wenn die Befehle zur Darstellung direkt in der E-Mail eingebettet mitgesendet und nicht über extern abgelegte Dateien gesteuert werden. Google und Yahoo beispielsweise, blockieren grundsätzlich externe CSS-Dateien.

Zusammenfassend sei noch zu sagen, dass diese Art von Bedrohung nicht neu ist. Sicherheitsexperten warnen schon seit geraumer Zeit vor dem Nachladen von externem Inhalt in E-Mails. Nichts desto trotz kann eine erneute Überprüfung Ihrer E-Mail Policies nicht schaden. In der E-Mail Security hat es in letzter Zeit massive Verbesserungen gegeben.

Wer am Ball bleibt erspart sich Ärger, wie überall in der IT.

 


Quellen:

https://www.mimecast.com/globalassets/documents/whitepapers/wp_the_ropemaker_email_exploit.pdf

https://www.mimecast.com/blog/2017/08/introducing-the-ropemaker-email-exploit/

https://threatpost.com/ropemaker-exploit-allows-for-changing-of-email-post-delivery/127600/

Bild: ©iStock/Bill Oxford

 

 

 

Schreibe einen Kommentar