Un ricercatore di sicurezza della londinese Mimecast , Francesco Ribeiro , ha identificato un notevole punto di debolezza nei client di posta più diffusi, consistente nella possibilità per un attaccante di modificare il contenuto visuale di un messaggio di posta dopo la consegna dello stesso, bypassando talvolta i controlli anti-spam e anti-malware effettuati nella fase di delivery.
L’attacco è stato denominato Ropemaker ( Remote Originated Post-delivery Email Manipulation Attacks keep emails risky ) e, come facilmente intuibile, vede come mezzo di attacco le email in formato HTML.
Includendo un foglio di stile esterno, infatti, è possibile manipolare il contenuto del messaggio agendo sulla proprietà CSS display , che consente di regolare la modalità di visualizzazione degli elementi HTML nel DOM , anche dopo che l’email è stata consegnata e scaricata dal client di posta della vittima, bypassando quindi gli eventuali controlli di sicurezza effettuati dal mail server.
I metodi di attacco presentati dal ricercatore sono fondamentalmente due: il primo è la banale applicazione del concetto appena espresso. L’email in questione potrebbe avere, in tal caso, un body di questo tipo:
Un’email con questo contenuto può essere associata al seguente foglio di stile:
Successivamente alla consegna della email, l’attaccante può poi modificare (manualmente o dinamicamente) il contenuto del foglio di stile rendendo visibile il contenuto malevolo e nascondendo quello buono, o porzioni di esso, sostituendo ad esempio link o immagini presenti nel messaggio.
Tale modalità è facilmente contrastabile anche con misure sul server di posta, in quanto tramite meccanismi di content filtering il contenuto malevolo è facilmente individuabile.
Per rendere più difficile la vita ad eventuali sistemi di sicurezza messi in atto da sistemisti e amministratore di rete, si può utilizzare una seconda modalità, consistente nell’utilizzo di una matrice di caratteri nella quale ciascuno di essi è contenuto in un elemento div separato in questo modo:
Agendo sulla proprietà display dei singoli div, si può quindi comporre una stringa arbitraria.
I CSS non sono, tuttavia, l’unico possibile mezzo di attacco: questo può essere portato a termine anche sfruttando i tag iframe , embed , eventuali immagini vettoriali SVG e font personalizzati.
I maggiori client di posta sono soggetti a questo tipo di attacco: tra questi spiccano Microsoft Outlook , Apple Mail e Mozilla Thunderbird . I client di posta Web invece non sono generalmente vulnerabili, in quanto per prassi viene effettuata la cancellazione dell’intestazione del documento HTML e le eventuali risorse esterne vengono incluse permanentemente nel messaggio.
Anche nel caso dei client standalone , comunque, parlare di vulnerabilità è forse inopportuno: si tratta più che altro dell’utilizzo malevolo di una funzionalità così come disegnata. L’utente può infatti disabilitare il download di risorse esterne dalle impostazioni del proprio client di posta, contrastando così l’attacco in modo definitivo; allo stesso modo gli amministratori di sistema possono includere controlli a livello di mail server che effettuino il prefetch delle risorse esterne includendole direttamente nel messaggio.
Patrizio Tufarolo
Ti potrebbe interessare
29 ago 2017