Sicherheitslücke Ropemaker So könnten Betrüger E-Mails im Posteingang nachträglich verändern

Sieht schick aus, ist aber gefährlich: E-Mails, die mit externen Stilvorlagen formatiert wurden, haben ein Problem. Kriminelle könnten eine Schwachstelle namens Ropemaker ausnutzen, um deren Inhalt nachträglich zu manipulieren.

Smartphone-Nutzer
DPA

Smartphone-Nutzer

Von


Eben lag die E-Mail noch harmlos im Posteingang. Kurz danach taucht plötzlich ein Link im Nachrichtentext auf, der auf eine betrügerische Website leitet. Es ist ein Schreckensszenario, das die Sicherheitsexperten des Software-Unternehmens Mimecast beschreiben. Ropemaker heißt die Sicherheitslücke, die es Betrügern ermöglichen soll, E-Mails per Fernzugriff im Posteingang der Nutzer nachträglich zu verändern.

In einem Blogbeitrag des Unternehmens heißt es: "Wer die Ropemaker-Schwachstelle mit böser Absicht ausnutzt, der kann den angezeigten Inhalt einer E-Mail beliebig verändern." So könne ein Angreifer beispielsweise einen zunächst harmlosen Link so manipulieren, dass er auf eine infizierte Website führt. Dafür sei kein lokaler Zugriff auf das Postfach nötig. Außerdem würde so ein Angriff auch unbemerkt bleiben, da E-Mails nur gescannt werden, wenn sie ankommen. Sobald die Nachrichten im Posteingang liegen, überprüft die Virensoftware nicht mehr, ob Links auf betrügerische Websites verweisen.

Möglich sei der Angriff über so enannte CSS-Dateien, die auf einem fremden Server liegen. Diese Dateien werden auf vielen Websites und auch in E-Mails dafür eingesetzt, dass Texte, Bilder und Tabellen an die richtige Stelle gerückt werden. Die Idee dahinter: Im HTML-Code wird lediglich der Text transportiert. Die CSS-Datei verändert dann die Schriftart, die Farbe und Größe der Buchstaben. Das hat den Vorteil, dass Inhalte mithilfe von CSS-Dateien immer wieder anders dargestellt werden können, während der Text in HTML-Dateien unverändert bleibt.

Der Trick bei Ropemaker besteht darin, die bösartigen Links in der E-Mail zunächst per CSS-Befehl auszublenden. Sobald die E-Mail dann im Postfach liegt, genügt eine kleine Anpassung in der externen CSS-Datei, um den Link auf infizierte Seiten wieder einzublenden.

Apple und Microsoft reagieren gelassen

Die gute Nachricht: Es handelt sich bei der Schwachstelle offenbar nur um eine theoretische Bedrohung. Bisher hat es laut Mimecast keinen Fall gegeben, bei dem Ropemaker ausgenutzt worden sei. Der Konzern betreut nach eigenen Angaben mehr als 27.000 Unternehmen und leitet Milliarden von E-Mails jeden Monat weiter. Falls die Schwachstelle von kriminellen Hackern ausgenutzt würde, wäre es ziemlich sicher bemerkt worden.

Ein Hindernis für Angreifer ist vor allem, dass diese Methode in vielen Fällen gar nicht funktioniert. Mail-Programme akzeptieren in der Regel nur dann mit CSS formatierte E-Mails, wenn die CSS-Befehle direkt im HTML-Code der Nachricht mitgesendet werden - und Betrüger somit keinen Fernzugriff auf die E-Mails haben. Google und Yahoo blockieren grundsätzlich externe CSS-Dateien bei ihren E-Mail-Anwendungen. Sollte das Design über eine CSS-Datei auf einem fremden Server gesteuert werden, wird der Text in der E-Mail unformatiert angezeigt und die Gefahr durch Ropemaker besteht nicht mehr.

Bei E-Mail-Anwendungen auf Laptops und Desktop-Rechnern sieht das ein wenig anders aus. Dort können die Nutzer einstellen, ob externe Inhalte geladen werden dürfen. Apple verweist in einer Antwort an Mimecast darauf, dass man beim E-Mail-Programm Mail in den Einstellungen unter "Darstellung" den Haken bei "entfernte Inhalte in Nachrichten laden" wegklicken muss, um sicher zu gehen. Microsoft hingegen sieht keine Bedrohung durch Ropemaker und antwortet: "Wir haben entschieden, dass die Anforderungen für eine Sicherheitswartung nicht erfüllt werden."

Diese Antworten waren offenbar auch der Anlass für Mimecast, die Schwachstelle publik zu machen. "Mimecast teilt nun die Details über Ropemaker mit der Öffentlichkeit, um das Sicherheitsbewusstsein zu verbessern und angemessene Schritte gegen die Gefahr einzuleiten, die unserer Meinung nach bei E-Mails existiert", heißt es in dem Bericht über Ropemaker.



© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.