Sommige mailclients zijn kwetsbaar voor manipulatie-aanvallen bij gebruik van "mailto:"

Darkcrizt

4 minuten

Onderzoekers van de Ruhr-universiteit in Bochum, Duitsland, analyseerde het gedrag van e-mailclients bij het omgaan met "mailto:" -links met uitgebreide parameters.

Bij welke vijf van de twintig klanten de correo electrónico waarvan ze analyseerden dat ze kwetsbaar waren voor een surrogaatmanipulatie-aanval van bronnen met behulp van de "attach" -parameter.

Zes klanten e-mail meer werden getroffen door de PGP- en S / MIME-sleutelvervangingsaanvalEn drie clients waren kwetsbaar voor de aanval om de inhoud van de gecodeerde berichten op te halen.

De "mailto:" -links worden gebruikt om het openen van een e-mailclient te automatiseren om een ​​e-mail te schrijven naar de ontvanger die in de link is opgegeven. Naast het adres kunt u als onderdeel van de link aanvullende parameters opgeven, zoals de onderwerpregel en sjabloon voor typische inhoud.

De voorgestelde aanval manipuleer de "attach" -parameter om een ​​bestand toe te voegen naar de gegenereerde e-mail.

Van de geanalyseerde e-mailclients worden de volgende vermeld:

E-mailclients Thunderbird, GNOME Evolutie (CVE-2020-11879) KDE KMail (CVE-2020-11880) IBM / HCL-notities (CVE-2020-4089) en Pegasus Mail ze waren kwetsbaar voor een triviale aanval dat automatisch elk gespecificeerd lokaal bestand bijgevoegd Via een link zoals "mailto :? attach = path_to_file".

Het bestand is zonder voorafgaande kennisgeving bijgevoegd, daarom zal de gebruiker zonder speciale nadruk niet merken dat het in de e-mail met de bijlage wordt verzonden.

Deze fout kan op een vrij eenvoudige manier worden misbruikt, aangezien u voor het verkrijgen van programmaspecifieke bestanden niet veel hoeft te doen, behalve alleen het pad specificeren. Het kan bijvoorbeeld worden gebruikt om cryptocurrency-portefeuilles te verkrijgen of uit een database of iets interessants.

Naast lokale bestanden verwerken sommige e-mailclients ook koppelingen naar netwerkopslag en routes op de IMAP-server.

En in het bijzonder, Met IBM Notes kunt u een bestand uit een netwerkdirectory overbrengen bij het verwerken van links zoals "attach = \\ site.com \ file", evenals het onderscheppen van NTLM-authenticatieparameters door een link te sturen naar een door een aanvaller bestuurde SMB-server (het verzoek wordt verzonden met de huidige gebruikersauthenticatieparameters).

In het speciale geval van Thunderbird, dit behandelt met succes verzoeken om mapinhoud op de IMAP-server bij te voegen.

Tegelijkertijd worden de berichten die zijn geëxtraheerd uit IMAP, gecodeerd met OpenPGP en S / MIME, automatisch gedecodeerd door de e-mailclient voordat ze worden verzonden.

Thunderbird-ontwikkelaars werden in februari op de hoogte gebracht van het probleem en het probleem is nu opgelost in Thunderbird 78 (Thunderbird-branches 52, 60 en 68 zijn nog steeds kwetsbaar).

Eerdere versies van Thunderbird waren ook kwetsbaar voor twee andere aanvalsopties voor PGP en S / MIME die door de onderzoekers werden voorgesteld.

 Hoewel Thunderbird de mailto:? Attach, lijkt nog steeds aanwezig te zijn in distributies die xdg-email toepassen om mailto URL's te ontleden. 

Specifiek Thunderbird, evenals OutLook, PostBox, eM Client, MailMate en R2Mail2 konden een key change-aanval uitvoeren, veroorzaakt door het feit dat de e-mailclient automatisch nieuwe certificaten importeert en installeert die worden verzonden in S / MIME-berichten, waardoor een aanvaller de vervanging kan organiseren van openbare sleutels die al door de gebruiker zijn opgeslagen.

De tweede aanval, waaraan ze worden blootgesteld Thunderbird, PostBox en MailMate manipuleren de kenmerken van het automatisch opslagmechanisme van conceptberichten en stelt u in staat de mailto-parameters te gebruiken om het decoderen van versleutelde berichten te starten of voeg een digitale handtekening toe voor willekeurige berichten, met de daaropvolgende overdracht van het resultaat naar de IMAP-server van de aanvaller.

Bij deze aanval wordt de cijfertekst verzonden via de "body" -parameter en wordt de "meta refresh" -tag gebruikt om een ​​oproep te starten naar de IMAP-server van de aanvaller.

Voor automatische verwerking van "mailto:" links zonder tussenkomst van de gebruiker, kunnen speciaal ontworpen PDF-documenten worden gebruikt: OpenAction in PDF stelt u in staat om automatisch de mailto-driver te starten wanneer u een document opent.

Eindelijk als u er meer over wilt weten hierover kunt u het onderzoeksdossier raadplegen In de volgende link.


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: AB Internet Networks 2008 SL
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.

  1.   Raul vraagt ​​geen gewicht meer zei
    geleden Tot 4 jaar

    malito: mishuevos@gmail.com? attatch = / etc / passwd stuur me een e-mail

    Reageer op Raul en vraag niet meer pesao