![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Eine Ropemaker (steht f\u00fcr Remotely Originated Post-delivery Email Manipulation Attacks Keeping Email Risky) kann bereits zugestellte E-Mails nachtr\u00e4glich manipulieren, so dass diese auf Webseiten mit Schadcode verlinken.<\/p>\nEine Ropemaker (steht f\u00fcr Remotely Originated Post-delivery Email Manipulation Attacks Keeping Email Risky) kann bereits zugestellte E-Mails nachtr\u00e4glich manipulieren, so dass diese auf Webseiten mit Schadcode verlinken.<\/p>\n
<\/p>\n
Die Warnung kommt von Sicherheitsforschern, die eine eigentlich bekannte Technologie im Hinblick auf Sicherheit begutachtet haben. Es geht um die Frage, ob sich bereits zugestellte E-Mails, die im Posteingang eines Empf\u00e4ngers, ggf. auf einem lokalen Client, befinden, nachtr\u00e4glich manipuliert werden k\u00f6nnen.<\/p>\n
Der Exploit ist eigentlich recht einfach und ist dem Umstand geschuldet, dass moderne E-Mail-Clients wie Outlook etc. jeden Mist mitmachen und formatierte HTML-Nachrichten anzeigen k\u00f6nnen. Bei HTML-Inhalten lassen sich Cascading Style Sheets (CSS) zur Darstellung (Formatierung) verwenden \u2013 das wird auch heftig propagiert.<\/p>\n
Nun l\u00e4sst sich der CSS-Code im HTML-Dokument einbetten, oder \u00fcber einen externen Link an die Rendering-Engine \u00fcbergeben. Sicherheitsforscher Francisco Ribeiro vom Anbieter Minecast hat nun darauf hingewiesen, dass mit externen CSS-Dateien jedwede Manipulation m\u00f6glich ist. Das Ganze ist in diesem Blog-Beitrag<\/a> beschrieben. <\/p>\n Die \u00dcberlegung besteht darin, per Mail einen Inhalt auszuliefern, der auch einen Link auf eine externe Seite enth\u00e4lt. Bei der Auslieferung der E-Mail wird ein Link auf eine unverf\u00e4ngliche Webseite gesetzt (siehe obiger Screenshot). Die Idee ist, dass weder Virenscanner noch Benutzer Verdacht sch\u00e4tzen. <\/p>\n Anschlie\u00dfend w\u00e4re es f\u00fcr einen Angreifer recht einfach, \u00fcber eine externe CSS-Datei, die auf einem von ihm kontrollierten Server liegt, den Link so zu manipulieren, dass dieser auf eine Webseite mit Schadcode zeigt. Das Zuweisen eines Links per CSS-Anweisung habe ich in einem meiner letzten HTML-B\u00fccher, die kurz nach dem Jahr 2000 erschienen, beschrieben. \u00d6ffnet der Benutzer dann die E-Mail, wird ihm pl\u00f6tzlich ein Link auf eine Seite mit Schadsoftware angeboten (siehe folgender Screenshot). <\/p>\n Die Sicherheitsforscher schreiben, dass man das Ganze an Apple Mail mit den von Apple empfohlenen Einstellungen getestet habe. Aber auch unter Linux, Android oder Windows l\u00e4sst sich diese Angriffsmethode verwenden, wie die obigen Screenshots zeigen. Virenscanner sollten das aber erkennen. Am Besten w\u00e4re es aber, auf einen Mist wie externe CSS zu verzichten und diese grunds\u00e4tzlich im E-Mail-Client zu blockieren.<\/p>\n Bei The Hacker News<\/a> wird noch ein zweiter Exploit, Matrix Exploit, erw\u00e4hnt, der ebenfalls von Minecast entdeckt wurde. Dort wird ein HTML-Text per Mail ausgerollt, wobei die externe CSS-Datei kontrolliert, welche HTML-Tags beim Benutzer angezeigt werden. Dann lie\u00dfe sich selektiv vorgeben, ob und wann m\u00f6glicherweise sch\u00e4dliche Inhalte angezeigt werden. <\/p>\n The Hacker News schreibt, dass es noch schwieriger sei, diese Art des Angriffs zu entdecken. Auch hier meine Anmerkung: Bei blockierten externen CSS entf\u00e4llt dieses Angriffsszenario \u2013 und ein Virenscanner sollte den gesamten HTML-Code sowie die CSS-Anweisungen scannen (aber m\u00f6glicherweise scheitern die Scanner daran). <\/p>\n Bei den meisten E-Mail-Clients sollte sich eigentlich einstellen lassen, ob externe Inhalte zul\u00e4ssig sind. Beim Thunderbird geht es \u00fcber Extras \u2013 Einstellungen <\/em>auf der Seite Datenschutz <\/em>\u00fcber die Option Externe Inhalte in Nachrichten erlauben<\/em>. Eine separate Option, externe CSS zu blocken, habe ich nicht gefunden.<\/p>\n Artikel zum Thema sind neben The Hacker News<\/a> auch bei Bleeping Computer<\/a> und sogar bei Spiegel Online<\/a> erschienen. Bei Spiegel Online findet sich auch eine Einsch\u00e4tzung zur Gef\u00e4hrlichkeit (Apple und Microsoft reagieren gelassen, es sei ein theoretisches Szenario, welches bisher noch nicht ausgenutzt wurde, Google und Yahoo blockieren in ihren E-Mail-Postf\u00e4chern grunds\u00e4tzlich externe CSS).<\/p>\n \u00c4hnliche Artikel: Eine Ropemaker (steht f\u00fcr Remotely Originated Post-delivery Email Manipulation Attacks Keeping Email Risky) kann bereits zugestellte E-Mails nachtr\u00e4glich manipulieren, so dass diese auf Webseiten mit Schadcode verlinken.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2039,426],"tags":[259,6443,4328],"class_list":["post-193409","post","type-post","status-publish","format-standard","hentry","category-mail","category-sicherheit","tag-e-mail","tag-ropemaker","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/193409","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=193409"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/193409\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=193409"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=193409"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=193409"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"HTML-Mail\"](\"https:\/\/web.archive.org\/web\/20190812061017\/https:\/\/www.mimecast.com\/globalassets\/blog\/main\/2017\/switch-email-goodurl---edited-002.jpg\" "\\"HTML-Mail\\"")
(Quelle: Minecast)<\/p>\n![](\"https:\/\/web.archive.org\/web\/20191103203403\/https:\/\/www.mimecast.com\/globalassets\/blog\/main\/2017\/switch-email-badurl---edited-002.jpg\")
(Quelle: Minecast)<\/p>\nMatrix Exploit<\/h2>\n
Abschlie\u00dfendes Fazit<\/h2>\n
<\/strong>Sicherheit: Update auf Thunderbird 52.3.0 und mehr
Sicherheitsl\u00fccke in HPE Integrated Lights-out 4 (iLO 4)<\/a>
Drittanbieter 0Patch f\u00fcr FoxIt-Sicherheitsl\u00fccke<\/a>
eco Verband fordert eingebaute Softwaresicherheit<\/a>
Medizinger\u00e4te: (Sicherheits-)Risiko Windows 7?<\/a>
Zwei kritische Sicherheitsl\u00fccken im Foxit PDF Reader<\/a>
Sicherheitsl\u00fccke in alten Chrome-Versionen bleibt ungepatcht<\/a>
Facebook-Messenger erneut als Malware-Schleuder<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"