Algunos clientes de correo son vulnerables a ataques de manipulación al usar “mailto:”
Investigadores de la Universidad del Ruhr en Bochum, Alemania, analizaron el comportamiento de los clientes de correo electrónico al manejar enlaces «mailto:» con parámetros extendidos.
En lo cual cinco de los veinte clientes de correo electrónico que analizaron eran vulnerables a un ataque de manipulación de sustitución de recursos utilizando el parámetro «attach».
Seis clientes de correo electrónico más se vieron afectados por el ataque de reemplazo de claves PGP y S / MIME, y tres clientes fueron vulnerables al ataque para recuperar el contenido de los mensajes cifrados.
Los enlaces «mailto:» se utilizan para automatizar la apertura de un cliente de correo para poder escribir una correo electrónico al destinatario especificado en el enlace. Además de la dirección, como parte del enlace, puede especificar parámetros adicionales, como la línea de asunto y la plantilla para el contenido típico.
El ataque propuesto manipula el parámetro «attach» para adjuntar un archivo al correo electrónico generado.
De los clientes de correo electrónico analizados, se mencionan los siguientes:
Los clientes de correo Thunderbird, GNOME Evolution (CVE-2020-11879), KDE KMail (CVE-2020-11880), IBM/HCL Notes (CVE-2020-4089) y Pegasus Mail eran vulnerables a un ataque trivial que adjuntaba automáticamente cualquier archivo local especificado a través de un enlace como «mailto:?attach= path_to_file».
El archivo se adjunta sin previo aviso, por lo tanto, sin un énfasis especial, el usuario puede no notar que en el correo se enviará con el adjunto.
Este fallo puede ser explotado de una manera bastante sencilla, ya que para obtener archivos específicos de programas, no hace falta hacer mucho, mas que solo especificar la ruta. Por ejemplo se puede aprovechar para obtener carteras de criptomonedas o de una base de datos o algo de interes.
Además de los archivos locales, algunos clientes de correo electrónico procesan enlaces al almacenamiento de red y rutas en el servidor IMAP.
En particular, IBM Notes permite transferir un archivo desde un directorio de red al procesar enlaces como «attach=\\site.com\file», así como interceptar los parámetros de autenticación NTLM enviando un enlace a un servidor SMB controlado por el atacante (la solicitud se enviará con los parámetros de autenticación actuales usuario).
En el caso especial de Thunderbird, este maneja con éxito las solicitudes para adjuntar contenido de carpetas en el servidor IMAP.
Al mismo tiempo, los mensajes extraídos de IMAP, cifrados mediante OpenPGP y S/MIME, son descifrados automáticamente por el cliente de correo antes de enviarlos.
Los desarrolladores de Thunderbird fueron notificados del problema en febrero y el problema ya se ha solucionado en Thunderbird 78 (las ramas 52, 60 y 68 de Thunderbird siguen siendo vulnerables).
Las versiones anteriores de Thunderbird también eran vulnerables a otras dos opciones de ataque para PGP y S/MIME propuestas por los investigadores.
Aunque Thunderbird eliminó la función mailto:? Attach, todavía parece estar presente en las distribuciones que aplican xdg-email para analizar las URL de mailto.
Específicamente, Thunderbird, así como OutLook, PostBox, eM Client, MailMate y R2Mail2, pudieron realizar un ataque de cambio de clave, causado por el hecho de que el cliente de correo importa e instala automáticamente nuevos certificados transmitidos en mensajes S/MIME, que permite que un atacante se organice sustitución de claves públicas ya almacenadas por el usuario.
El segundo ataque, al que están expuestos Thunderbird, PostBox y MailMate, manipula las características del mecanismo de autoguardado de borradores de mensajes y permite utilizar los parámetros mailto para iniciar el descifrado de mensajes cifrados o agregar una firma digital para mensajes arbitrarios, con la posterior transferencia del resultado al servidor IMAP del atacante.
En este ataque, el texto cifrado se transmite a través del parámetro «body» y la etiqueta «meta refresh» se utiliza para iniciar una llamada al servidor IMAP del atacante.
Para el procesamiento automático de enlaces «mailto:» sin la intervención del usuario, se pueden utilizar documentos PDF especialmente diseñados: OpenAction en PDF le permite iniciar automáticamente el controlador mailto cuando abre un documento.
Finalmente si estás interesado en conocer mas al respecto sobre el tema, puedes consultar el archivo de la investigación en el siguiente enlace.