포스팅 내용

국내외 보안동향

이미 보낸 이메일이라도 공격자가 내용을 수정 가능한 익스플로잇 발견

Simple Exploit Allows Attackers to Modify Email Content — Even After It's Sent!


보안연구원들은 새로운 이메일 트릭에 대해 경고하였습니다. 


이 트릭은 공격자가 이미 사용자의 받은 편지함에 도착한 이메일이라 하더라도, 정상 이메일을 악성 이메일로 둔갑시킬 수 있도록 허용합니다. 


이 트릭은 Ropemaker (Remotely Originated Post-delivery Email Manipulation Attacks Keeping Email Risky)라 명명되었습니다. 


Ropemaker를 성공적으로 악용할 경우, 공격자는 자신이 보낸 이메일의 내용을 원격으로 수정할 수 있게 됩니다. 따라서 URL을 악성으로 변경하는 등의 행위가 가능합니다. 


이는 이메일이 받은 편지함에 이미 도달한 상태에서도 가능하기 때문에, 수신자의 컴퓨터나 이메일 어플리케이션에 직접적으로 접근하지 않더라도 모든 스팸 및 보안 필터를 우회할 수 있게 됩니다. 따라서 수 억명의 데스크탑 이메일 클라이언트의 사용자들이 이 공격에 노출 되었습니다.


Ropemaker는 정보가 인터넷에 표시 될 수 있는 근본적인 부분인 CSS와 HTML을 악용합니다.


연구원들은 “Ropemaker는 이메일과 웹 기술의 교차점으로 HTML과 함께 사용 되는 CSS에서 비롯되었습니다. 웹 기술로 인해 순수 텍스트 기반이었던 이전 이메일들이 더욱 매력적인 비쥬얼을 가진 역동적인 이메일들로 바뀌었지만, 이로써 이메일을 공격할 수 있는 방법이 생기게 되었습니다.”고 밝혔습니다.


CSS는 원격으로 저장 되기 때문에, 공격자는 이메일의 ‘style’을 원격으로 변경함으로써 기술에 익숙한 사람들까지 눈치챌 수 없도록 이메일의 컨텐츠를 바꿀 수 있게 되는 것입니다.


연구원들에 따르면, Ropemaker 공격은 공격자의 창의력에 따라 얼마든지 악용될 수 있습니다.


예를 들면, 공격자들은 정식 사이트로 연결 되던 URL을 사용자들을 악성코드에 감염시킬 수 있는 악성 URL로 바꿔치기 할 수 있습니다.

일부 시스템들은 사용자가 악성 링크를 오픈하려고 시도할 경우 이를 탐지해 차단하지만, 다른 사용자들은 보안 위험에 처할 수 있게 됩니다.


또 다른 공격 시나리오인 “Matrix Exploit”은, 위에 설명한 “Switch Exploit”보다 훨씬 탐지 및 방어를 어렵게 합니다.


Matrix Exploit 공격에서는, 공격자는 이메일에 텍스트 matrix를 쓴 다음 원격 CSS를 이용해 어떤 내용이 표시될지 선택적으로 제어할 수 있기 때문에, 공격자가 이메일의 body에 악성 URL을 추가하는 등 원하는 모든 것을 표시할 수 있게 됩니다.


사용자가 수신한 초기 이메일은 어떠한 URL도 표시 하지 않으므로, 대부분의 소프트웨어 시스템들은 이 메시지를 악성으로 분류하지 않을 것이기 때문에 이 공격은 방어하기가 더욱 힘듭니다.


연구원들은 아직까지 실제로 악용 된 사례는 발견하지 못했지만, 이 공격이 실행 되지 않고 있다고는 확신할 수 없는 상황이라고 밝혔습니다.


이러한 공격으로부터 보호 받기 위해서는, 사용자들은 Ropemaker와 같은 CSS 익스플로잇에 영향을 받지 않는 웹 기반의 이메일인 Gmail, iCloud, Outlook 등을 사용하는 것이 좋습니다.


하지만 데스크탑 및 모바일 버전의 Apple Mail, Microsoft Outlook, Mozilla Thunderbird 등 이메일 클라이언트들은 Ropemaker 공격에 취약합니다.






출처 : 

http://thehackernews.com/2017/08/change-email-content.html

https://www.mimecast.com/blog/2017/08/introducing-the-ropemaker-email-exploit/



티스토리 방명록 작성
name password homepage