[Перевод] Простой эксплойт даёт злоумышленникам возможность изменить содержимое письма после отправки24.08.2017 16:18

Комментарии 11

isxam

24.08.17 в 12:13

0

Поскольку URL-адрес отображается после доставки, шлюз безопасности электронной почты не может найти и проверить вредоносный url, поскольку на момент доставки его нет. Для этого потребуется интерпретация CSS файлов, а это выходит за рамки функциональности существующих систем безопасности электронной почты.

С текстом все ясно, а вот про ссылки не совсем.
Есть возможность средствами css изменить атрибут элемента (ссылка в данном случае)?
Насколько я понял, на момент доставки урл уже должен присутствовать в письме, только меняются его настройки видимости. Следовательно спам фильтры определят вредоносный адрес.
- Cloud4Y
  24.08.17 в 12:16
  
  0
  
  Вы говорите о случае с Switch Exploit, а отрывок статьи о Matrix Exploit. В случае со Switch то, о чём вы пишите работает.
  - isxam
    24.08.17 в 13:44
    
    0
    
    я возможно упустил один абзац, либо он был добавлен
    клиент электронной почты покажет ссылку с возможностью клика
    
    Поскольку URL-адрес отображается после доставки, шлюз безопасности электронной почты не может найти и проверить вредоносный url, поскольку на момент доставки его нет.
    я о том, что вот эти два предложения вместе несовместимы, тут обязательно оговорка, что урл будет некликабельным (составлен из отдельных символов-элементов) и только тогда его пропустит «шлюз безопасности».
vesper-bot
24.08.17 в 12:45

0

Не хватает картинки с CSS в описании преобразования HTML в методе Matrix Exploit. Из описания понятно, что в письме в HTML-коде одна позиция (один символ) представлена набором div-ов с уникальными ID, внутри которых по одному символу, в CSS, соответственно, часть этих ID’ов получает «display=inline». Трюк интересен, особенно если сервер динамически генерирует CSS, и его было бы весело использовать для какой-нибудь непрямой генерации уникальных ID, не перехватываемых одним куском (надо сопоставить два куска информации, прямо как в «Кортике»).

Также непонятен толком способ превратить порезанное на символы письмо в HTML-код »», вроде как чисто CSS’ом это не поменять. Или в письме стоит динамическая ссылка на какой-то элемент загружаемого CSS?
- Cloud4Y
  24.08.17 в 12:52
  
  0
  
  клиент электронной почты покажет ссылку с возможностью клика (например, в случае с Apple Mail), либо, по крайней мере, будет содержать текст с URL-адресом.
  пользователь копирует текст и вставит в строку браузера
  - vesper-bot
    24.08.17 в 13:49
    
    0
    
    То есть серьезно, если я из дивов соберу строку «http://site.com/dir» клиент Apple Mail соберет из неё активный элемент? Ваууу, юзабилити! : D
    
    А копировать адрес из письма — довольно рискованная затея, на неё даже пользователи толком не попадаются уже.
    - isxam
      24.08.17 в 14:21
      
      0
      
      тоже удивился, проверил на мобильном девайсе — действительно ссылка :/
- Cloud4Y
  24.08.17 в 12:57
  
  0
  
  конечно, вредоносный сайт не будет называться BadURL;)

3fbfd7eb682088db220ba30e7792a85f_small.j johnfound

24.08.17 в 13:38

+1

Не надо использовать HTML в письмах! Электронная почта + HTML это дорога в ад!

Во всех клиентов есть соответствующие настройки. Если письмо не конвертируется, просто стираем.

Cloud4Y
24.08.17 в 13:55

0

В целом согласен, но иногда хочется получить красивое письмо. За сотрудников организации выбор между красотой и безопасностью может сделать администратор, если такой имеется. В случае, с личным использованием почтовых клиентов ситуация чаще всего будет решена в пользу красоты.

48ec170d8853489ac971f07f449e0edf_small.j EndUser

24.08.17 в 15:27

0

В TheBAT как защищаться — понятно: Menu\Preferences\Viewer-Editor\HTML Viewer:
Use The Bat HTML viewer = Checked, Download embedded = Never.
И лучше Menu\Preferences\Viewer-Editor\: Plain Text Viewer везде.

А вот как защищаться в Mozilla Thunderbird я сообразить не могу…

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.