ROPEMAKER – kỹ thuật chỉnh sửa nội dung thư điện tử sau khi gửi

14:35 | 22/09/2017

Công ty Mimecast vừa giới thiệu sản phẩm ROPEMAKER, một kỹ thuật tấn công cho phép sửa nội dung thư điện tử sau khi gửi.

Điều náy giúp kẻ xấu có thể thay đổi từ xa nội dung mà người dùng nhìn thấy trong thư điện tử. Chúng có thể đổi một URL vô hại thành một đường dẫn tới trang web xấu mà không cần tác động tới máy tính hay phần mềm đọc thư của họ. Hay đổi nội dung thư từ “Có” thành “Không”, từ 1 USD thành 1 triệu USD…

ROPEMAKER (Remotely Originated Post-delivery Email Manipulation Attacks Keeping Email Risky), là một kiểu tấn công do chuyên gia Francisco Ribeiro của công ty Mimecast mới phát hiện, cho phép thay đổi những gì mà người đọc nhìn thấy trong thư điện tử. ROPEMAKER xuất phát từ sự giao thoa giữa thư điện tử và các công nghệ web như HTML, Cascading Style Sheets (CSS) và siêu liên kết. Việc sử dụng các công nghệ web đã giúp thư điện tử trở nên hấp dẫn hơn, nhưng cũng đem tới một kênh tấn công mới đối với thư điện tử.

ROPEMAKER tồn tại vì các công nghệ web có thể (và thường) tương tác qua mạng Internet. Cụ thể hơn, hai nguồn tài nguyên nằm ở hai vị trí cách xa nhau có thể được liên kết, tương tác với nhau qua mạng. Các tài nguyên bị kiểm soát từ xa có thể được lấy về hay tham chiếu mà không có sự kiểm soát trực tiếp của người dùng. Một ví dụ rất rõ cho điều này là việc sử dụng CSS từ xa.

CSS (style sheet language) là ngôn ngữ định dạng trang dùng để mô tả cách hiển thị một tài liệu được viết bằng ngôn ngữ đánh dấu như HTML. ROPEMAKER lợi dụng việc một CSS cho phép tách biệt giữa cách hiển thị và nội dung, bao gồm những khía cạnh như bố cục, màu sắc và phông chữ. Điều quan trọng là nếu được các ứng dụng như email client hỗ trợ, một tệp CSS từ xa (qua Internet) có thể được dùng tại chỗ. Và thay vì chỉ kiểm soát cách trình bày thư điện tử, CSS từ xa có thể kiểm soát cả nội dung thư điện tử.

Kiểu tấn công đầu tiên của ROPEMAKER được gọi là Switch (chuyển đổi), có thể hiển thị URL tốt trong thư điện tử thành một đường dẫn độc hại khi người dùng xem nội dung.

Dĩ nhiên, kẻ xấu sẽ không dùng một URL với dòng chữ “BadURL” như trong hình minh hoạ trên để làm lộ rõ mục đích của mình.

CSS từ xa thực hiện việc chuyển đổi nội dung hiển thị được minh hoạ trong hình dưới đây. Nó cho phép kẻ xấu chuyển từ việc hiển thị phần #safe sang hiển thị phần #evil của thư.

Nội dung gốc của tệp HTML có chứa cả hai phần #safe và #evil.

Kiểu tấn công thứ hai được gọi là Matrix, phức tạp hơn nhiều. Kẻ xấu gửi một ma trận ký tự ASCII tới người nhận rồi dùng CSS từ xa để kiểm soát nội dung hiển thị. Chẳng hạn như ban đầu kẻ xấu hiển thị một bức thư trắng như hình dưới đây.

Và chỉ cần thay đổi tệp CSS từ xa một chút là nội dung thư đã biến đổi hoàn toàn.

Nếu kiểu tấn công đầu có thể được ngăn chặn bởi các hệ thống lọc và kiểm tra URL, thì kiểu tấn công Matrix khó xử lý hơn nhiều. Hệ thống lọc thư điện tử tại gateway sẽ không thể phát hiện vì khi mới nhận trong thư không có một siêu liên kết nào. Việc phân tích tệp CSS nằm ngoài khả năng của các hệ thống bảo vệ thư điện tử hiện nay.

Đây là phạm vi trách nhiệm của các email client. Các câu hỏi được đặt ra là: Tại sao các phần mềm đó lại tự động tải những tài nguyên từ xa? Và tại sao các phần mềm đó lại phụ thuộc vào cấu hình do người dùng thiết lập khi họ không hiểu cần quyết định thế nào? Ví dụ như Microsoft Outlook trên PC có thể được cấu hình để cảnh báo trước khi tải xuống tài nguyên từ trên mạng. Nhưng có lẽ khá nhiều người dùng bỏ qua hay vô hiệu thiết lập đó. Với người dùng, nếu nội dung thư có vẻ ổn thì việc tải xuống các phần đính kèm cũng không gây nghi ngại gì.

Trong kiểu tấn công Matrix, kẻ xấu gửi một bảng ký tự ASCII phức tạp trong HTML như hình dưới đây.

Nội dung này sẽ không bị hệ thống an ninh nào phát hiện vì không có gì độc hại. Tuy nhiên, sau khi thư được chuyển tới người nhận, kẻ xấu chỉ cần hiển thị nội dung lừa đảo bằng cách sắp xếp lại các ký tự trong thư. Tệp CSS dưới đây cho phép kẻ xấu thay đổi nội dung hiển thị của thư theo ý muốn.

Cho tới nay, Mimecast chưa phát hiện trường hợp nào sử dụng kỹ thuật tấn công ROPEMAKER trong thực tế. Tuy nhiên, điều đó không đảm bảo là tội phạm sẽ không lợi dụng ROPEMAKER để phá hoại hay trục lợi trong tương lai. Bên cạnh đó, nhà nghiên cứu Francisco Ribeiro cũng chỉ ra những phương pháp khác có thể đem tới hiệu quả tương tự:

  • Tấn công “người đứng giữa” sử dụng CSS từ xa: kẻ xấu chặn và thay đổi nội dung của tệp CSS từ xa.
  • Dùng ảnh kiểu Scalable Vector Graphics bên ngoài với đường dẫn giả hay hiển thị nội dung giả.
  • Dùng các thẻ <embed> và <iframe> để đưa tài liệu, ứng dụng hay nội dung tương tác vào thư điện tử.
  • Dùng phông chữ động từ xa.

Mimecast đã gửi cảnh báo tới Microsoft và Apple trước khi công bố kỹ thuật tấn công ROPEMAKER nhưng Microsoft cho rằng, xét theo định nghĩa thì kiểu tấn công ROPEMAKER không phải là một điểm yếu. Apple thì phản hồi rằng, người dùng có thể lựa chọn vô hiệu tính năng tải nội dung từ xa bằng cách truy cập mục Mail > Preferences > Viewing và bỏ dấu chọn bên cạnh dòng “Load remote content in messages”.

Cho tới khi các công ty cung cấp phần mềm email client đưa ra giải pháp khắc phục, người dùng có thể lựa chọn truy cập thư điện tử qua web (chẳng hạn như Gmail, Outlook.com hay icloud.com) – kiểu truy cập không bị ảnh hưởng do chưa hỗ trợ hiển thị nội dung HTML trong thư điện tử.