El exploit ha recibido de nombre de Ropemaker, traducido como “fabricante de cuerdas” o “sogas”, en realidad hace referencia a "Remotely Originated Post-delivery Email Manipulation Attacks Keeping Email Risky". Francisco Ribeiro, investigador de Mimecast, dedicado a la seguridad de servicios de email y cloud ha sido el que ha descubierto esta forma de explotar una vulnerabilidad.

A través de la explotación de Ropemaker, un atacante puede modificar de forma remota el contenido de un email enviado por él mismo, pudiendo por ejemplo sustituir una URL benigna por otra maliciosa. Lo más preocupante es que, como ya hemos comentado, el exploit puede ser ejecutado tras recibir el destinatario el email, después de superar todos los filtros de spam y seguridad y sin que el atacante necesite acceder directamente al ordenador de la víctima.

Ropemaker requiere del uso de un cliente de correo para ser llevado a cabo, no habiéndose visto afectados los webmails, o sea, las interfaces web de servicios de correo electrónico como Gmail o Outlook. Sin embargo, sí ha podido ser ejecutado sobre ordenadores que gestionaban el correo mediante aplicaciones como Apple Mail, Outlook de Microsoft Office y Mozilla Thunderbird.

El exploit se dedica a realizar abusos con CSS y HTML, dos de los componentes más básicos a la hora de desplegar contenidos en formato web. Esto incluye a los emails, que pueden ser enviados en texto plano o bien en formato HTML para poder aplicar elementos como negritas, textos de colores, tamaño y tipo de las fuentes, etc.

Debido a que el CSS puede ser almacenado de forma remota, los investigadores comentan que un atacante puede cambiar el contenido de un email a través de cambios en el CSS referenciado. Estos cambios son aplicados nada más mostrarse el email por parte del usuario, y como ya ha sido recibido, este no vuelve a pasar por los filtros y otras medidas de seguridad implementadas en o para el cliente de correo.

Mimecast ha decidido llamar a este tipo de exploits “Matrix Exploit” (exploit en matriz), el cual resulta más sofisticado y difícil de detectar que un “Switch Exploit” (exploit de cambio). Un atacante puede escribir una matriz de texto dentro de un email y luego usar un CSS remoto para controlar la forma de desplegarlo, permitiéndole cambiar un contenido benigno por otro malicioso dentro del código HTML.

De momento Mimecast no ha detectado que Ropemaker haya sido explotado de forma activa. Sin embargo, muchos usuarios y empresas que usan clientes de correo tendrían que estar pendientes del contenido de los emails que reciben, además de posibles actualizaciones de las aplicaciones que pudiesen corregir o prevenir este exploit.