Alguns clientes de e-mail são vulneráveis ​​a ataques via links ‘mailto’

Uma tecnologia menos conhecida, conhecida como links ” mailto “, pode ser usada de forma abusiva para lançar ataques contra usuários de clientes de desktop de e-mail.

GNOME Evolution, KDE KMail, IBM / HCL Notes e versões anteriores do Thunderbird consideradas vulneráveis.

Uma tecnologia menos conhecida, conhecida como links ” mailto “, pode ser usada de forma abusiva para lançar ataques contra usuários de clientes de desktop de e-mail.

Os novos ataques podem ser usados ​​para roubar secretamente arquivos locais e enviá-los por e-mail como anexos aos atacantes, de acordo com um estudo publicado na semana passada por acadêmicos de duas universidades alemãs.

Atacando links mailto

A “vulnerabilidade” no centro desses ataques é como os clientes de e-mail implementaram o RFC6068 – o padrão técnico que descreve o esquema de URI ‘ mailto ‘.

Mailto  refere-se a tipos especiais de links, geralmente suportados por navegadores da web ou clientes de e-mail. São links que, ao serem clicados, abrem uma nova janela de composição / resposta de e-mail em vez de uma nova página da web (site).

A RFC6068 diz que os   links mailto podem suportar vários parâmetros. Quando usados ​​com links mailto, esses parâmetros preencherão previamente a nova janela de e-mail com conteúdo predefinido.

Por exemplo, um  link mailto  como o abaixo abrirá uma nova janela de composição de e-mail com o e-mail de destino pré-preenchido com ” [email protected] ” , uma linha de assunto ” Olá”  e um texto de e-mail ” Amigo . “

<a href=” mailto :[email protected]Subject =Hello& body =Friend”> Clique aqui! </a>

O padrão RFC6068 ( mailto ) oferece suporte a um grande conjunto de parâmetros para personalizar   links mailto , incluindo opções raramente usadas que podem ser usadas para controlar o texto do corpo do e-mail, o endereço de e-mail de resposta e até mesmo cabeçalhos de e-mail.

No entanto, até mesmo o próprio padrão alerta os engenheiros de software contra o suporte de todos os parâmetros, recomendando que os aplicativos suportem apenas algumas opções “seguras”.

mailto-parameters.png
Imagem: Müller et al.

ALGUNS CLIENTES DE E-MAIL SUPORTAVAM PARÂMETROS MAILTO PERIGOSOS

Mas em um artigo de pesquisa chamado ” Mailto: Me Your Secrets ” [ PDF ], acadêmicos da Ruhr University Bochum e da Münster University of Applied Sciences disseram que encontraram aplicativos de cliente de e-mail que suportam o  padrão mailto  com alguns de seus parâmetros mais exóticos que permitem ataques a seus usuários.

Em particular, os pesquisadores analisaram os parâmetros mailto ” attach ” ou ” attachment ” que permitem que os links mailto abram novas janelas de composição / resposta de e-mail com um arquivo já anexado.

Os acadêmicos argumentam que os invasores podem enviar emails contendo  links mailto bloqueados  ou colocar  links mailto bloqueados  em sites que, quando clicados, podem anexar sub-repticiamente arquivos confidenciais à janela do email.

Se o usuário que redigiu o e-mail não detectar o anexo do arquivo, os invasores podem receber arquivos confidenciais do sistema do usuário, como chaves de criptografia (PGP), chaves SSH, arquivos de configuração, arquivos de carteira de criptomoeda, armazenamento de senhas ou documentos comerciais importantes – contanto que estejam armazenados em caminhos de arquivo conhecidos por um invasor.

Acadêmicos disseram que testaram várias versões dessa técnica de exfiltração de dados, como:

  • Usando caminhos exatos para os arquivos desejados.
  • Usando caracteres curinga (*) para anexar / roubar vários arquivos de uma vez.
  • Usando URLs para compartilhamentos de rede interna ( \\ company_domain \ file ).
  • Usando URLs que apontam a vítima para um servidor SMB desonesto de um invasor, para que a vítima vaze seu hash de autenticação NTLM para o invasor ( \\ evil.com \ dummyfile ).
  • Usando links IMAP para roubar mensagens de e-mail de toda a caixa de entrada de e-mail IMAP de um usuário ( imap: /// fetch> UID> / INBOX ).

A equipe de pesquisa disse que testou 20 clientes de email para seu cenário de ataque e descobriu que quatro clientes estavam vulneráveis. Esta lista inclui:

  • Evolution, o cliente de e-mail padrão para o ambiente de desktop GNOME no Linux (consulte CVE-2020-11879 )
  • KMail, o cliente de e-mail padrão para ambientes de desktop KDE no Linux (consulte CVE-2020-11880 )
  • IBM / HCL Notes no Windows (consulte CVE-2020-4089 )
  • Versões mais antigas do Thunderbird no Linux (agora com patch)

Todos os problemas encontrados foram relatados às respectivas equipes de desenvolvimento e corrigidos nesta primavera e verão, de acordo com os CVEs relacionados acima.

PESQUISA ADICIONAL SOBRE O ATAQUE CRIPTOGRAFADO DE PGP E S / MIME

No entanto, o artigo completo da equipe de pesquisa não foi focado em documentar as implementações do  esquema URI mailto  em clientes de email. Esta é uma pequena parte do artigo que escolhemos destacar neste artigo.

Em seu artigo, os acadêmicos se concentraram principalmente em encontrar bugs em clientes de e-mail que poderiam ser usados ​​para  contornar  (não quebrar) tecnologias de criptografia de e-mail, como PGP e S / MIME.

Os pesquisadores disseram que tiveram sucesso em encontrar três novas técnicas de ataque que alavancavam bugs em clientes de e-mail para roubar chaves privadas PGP das vítimas, o que permitiria aos invasores descriptografar todas as comunicações da vítima.

As três novas classes de ataque estão listadas abaixo, com o item 3) sendo a técnica que descrevemos acima com mais detalhes (já que essa técnica pode ser usada para roubar mais do que chaves de criptografia, como todos os tipos de outros arquivos):

  1. Substituição de chave  – os clientes de e-mail podem instalar automaticamente os certificados contidos nas comunicações S / MIME. Esse recurso, se disponível, pode ser usado incorretamente para substituir silenciosamente a chave pública usada para criptografar mensagens para uma determinada entidade.
  2. Oráculos Dec / Sig  – Usando  parâmetros padrão de  mailto , os clientes de e-mail podem ser enganados para descriptografar mensagens de texto cifrado ou assinar mensagens arbitrárias e exportá-las para um servidor IMAP controlado pelo invasor, se o cliente de e-mail oferecer suporte ao salvamento automático de rascunhos de mensagens.
  3. Exfiltração de chave  – se implementada pelo cliente de email, um invasor pode criar um  esquema de URI mailto especialmente criado  para forçar a inclusão do arquivo de chave privada OpenPGP no disco em um email a ser enviado de volta ao invasor.

Ao todo, os acadêmicos disseram que oito dos 20 clientes de e-mail testados em seu projeto de pesquisa eram vulneráveis ​​a pelo menos um dos três ataques listados acima. Consulte a figura e sua legenda abaixo para ver os detalhes de quais aplicativos de cliente de e-mail são vulneráveis ​​a quê e como.

mailto-results.png
Imagem: Müller et al.

Fonte: https://www.zdnet.com/article/some-email-clients-are-vulnerable-to-attacks-via-mailto-links/