ROPEMAKER permite a atacantes modificar o conteúdo de e-mails

Um exploit, descoberto recentemente, está a preocupar todas as empresas que oferecem serviço de comunicação por e-mail. Chama-se ROPEMAKER e permite ao atacante modificar o conteúdo de um e-mail mesmo depois de ter chegado à caixa de correio do destinatário.

De facto, um exploit tão poderoso como este representa uma ameaça para todas as pessoas que utilizam e-mail para comunicar. Para além dos cidadãos comuns, são as empresas que estão a fazer mais força para que o problema seja resolvido o mais rápido possível. Diariamente, os seus colaboradores trocam informação confidencial por e-mail, informação essa que pode provocar sérios prejuízos se for alterada.

O Aviso

O alerta foi dado pelo Mimecast, no dia 22 de Agosto de 2017. Mimecast é uma empresa internacional especializada no desenvolvimento e gestão de soluções para serviços de e-mail. De facto esta empresa é responsável por gerir serviços como o Microsoft Exchange e o Office 365.

O nome ROPEMAKER é um acrónimo para Remotely Originated Post-delivery E-mail Manipulation Attacks Keeping E-mail Risky. De acordo com o Mimecast, este exploit não foi detetado a ser usado em massa. No entanto, isso não significa que não haja alguém por aí a tirar partido desta vulnerabilidade.

Como é que funciona o ROPEMAKER?

ROPEMAKER tira partido de duas tecnologias presentes na Web, nomeadamente, CSS (Cascading Style Sheets) usado para fazer alterações visuais nas páginas Web e HTML, que é responsável pelo posicionamento e gestão dos vários elementos.

Por isso, o facto do conteúdo CSS ser guardado remotamente, permite ao atacante modificar o conteúdo dos e-mails remotamente através do exploit e, deste modo, alterar aquilo que o utilizador vê nos e-mails que recebe.

Por exemplo, o atacante é capaz de trocar num e-mail um URL fidedigno por outro que leve o utilizador a descarregar software malicioso. Pode inclusive editar o conteúdo de um e-mail sem que a vítima se aperceba. Tudo isto pode ser feito sem acesso direto à sua conta de e-mail, o que torna toda esta situação preocupante.

A decisão...

Aparentemente, o Mimecast já teria notificado as principais empresas, como a Microsoft e a Apple, em 2016, alertando para o perigo que esta vulnerabilidade representa. Vendo que nenhuma das empresas resolvia o problema, decidiu passar à ação e tornar a informação pública, esperando que nós, utilizadores, façamos pressão para que o problema seja reconhecido e resolvido o mais rápido possível.

Durante a está última semana, o serviço de e-mail cifrado, ProtonMail, lançou um comunicado no seu site avisando os utilizadores que, após uma cuidadosa análise técnica, chegaram à conclusão que o seu serviço de e-mail não poderia ser afetado pelo ROPEMAKER. Ainda assim, acrescentaram que serviços de e-mail como Outlook, Apple Mail e Thunderbird poderiam estar expostos a ataques ROPEMAKER.

Numa Era onde grande parte das comunicações ocorrem utilizando serviços de e-mail, a segurança e privacidade que envolve esta ferramenta devem ser uma prioridade. Esperemos que as empresas ataquem esta vulnerabilidade rapidamente de forma a minimizar os danos.