Certains clients mail sont vulnérables aux attaques via des liens “mailto”

Spread the love
Certains clients mail sont vulnérables aux attaques via des liens

Une technologie peu connue, connue sous le nom de liens “mailto“, peut être utilisée de manière abusive pour lancer des attaques contre les utilisateurs de clients de messagerie électronique.

Ces nouvelles attaques peuvent être utilisées pour voler secrètement des fichiers locaux et les envoyer par e-mail en pièces jointes aux attaquants, selon un document de recherche publié la semaine dernière par des universitaires de deux universités allemandes.

publicité

Attaquer les liens mailto

La “vulnérabilité” au cœur de ces attaques provient de la façon dont les clients de messagerie électronique ont mis en œuvre laRFC6068 – la norme technique qui décrit le schéma URL “mailto“.

Les Mailto font référence à des types de liens particuliers, généralement pris en charge par les navigateurs web ou les clients de messagerie électronique. Il s’agit de liens qui, lorsqu’on clique dessus, ouvrent une nouvelle fenêtre de composition de courrier électronique plutôt qu’une nouvelle page web (site web).

La RFC6068 indique que les liens mailto peuvent prendre en charge divers paramètres. Lorsqu’ils sont utilisés avec les liens mailto, ces paramètres pré-remplissent la nouvelle fenêtre de courrier électronique avec un contenu prédéfini.

Par exemple, un lien mailto comme celui ci-dessous ouvrira une nouvelle fenêtre de composition de courrier électronique pré-remplie avec “bob@host.com,“, un objet “Hello, “ et un texte de courrier électronique “Friend“.

<a href=”mailto:bob@host.com?Subject=Hello&body=Friend”>Click me!</a>

La norme RFC6068 (mailto) prend en charge un grand nombre de paramètres pour la personnalisation des liens mailto, y compris des options rarement utilisées qui peuvent être utilisées pour contrôler le corps du texte du courriel, l’adresse de réponse au courriel et même les en-têtes de courriel.

Cependant, même la norme elle-même met en garde les ingénieurs logiciels contre la prise en charge de tous les paramètres, en recommandant que les applications ne prennent en charge que quelques options “sûres”.

mailto-parameters.png

Image : Müller et al.

Certains clients de messagerie électronique supportaient des paramètres de messagerie dangereux

Mais dans un document de recherche intitulé “Mailto : Me Your Secrets” [PDF], des universitaires de l’université de la Ruhr de Bochum et de l’université des sciences appliquées de Münster ont déclaré avoir trouvé des clients de messagerie qui prennent en charge la norme mailto avec certains de ses paramètres les plus exotiques, et permettent des attaques sur leurs utilisateurs.

Les chercheurs ont notamment examiné les paramètres “attach” ou “attachment” de mailto qui permettent aux liens mailto d’ouvrir de nouvelles fenêtres de composition de courrier électronique avec un fichier déjà joint.

Les universitaires affirment que les attaquants peuvent envoyer des courriels contenant des liens mailto piégés ou placer des liens mailto piégés sur des sites web qui, lorsqu’on clique dessus, peuvent ajouter des fichiers sensibles à la fenêtre du courriel.

Si l’utilisateur qui compose le courriel ne repère pas la pièce jointe, les attaquants pourraient utiliser cette méthode pour récuperer des fichiers sensibles du système de l’utilisateur, tels que des clés de chiffrement (PGP), des clés SSH, des fichiers de configuration, des fichiers de portefeuille de cryptomonnaies, des fichiers de mots de passe ou des documents commerciaux importants – à condition qu’ils soient stockés dans des chemins d’accès connus de l’attaquant.

Les universitaires ont déclaré avoir testé plusieurs versions de cette technique d’exfiltration des données, comme

  • Utiliser les chemins d’accès exacts pour les fichiers souhaités.
  • Utiliser des caractères génériques (*) pour joindre/voler plusieurs fichiers à la fois.
  • Utilisation d’URL pour les partages de réseau interne (\\\entreprise_domaine\\fichier).
  • Utilisation d’URL pointant la victime vers le serveur SMB d’un attaquant, de sorte que la victime divulgue son hash d’authentification NTLM à l’attaquant (\\\Nevil.com\Ndummyfile).
  • Utilisation de liens IMAP pour voler des messages électroniques dans toute la boîte de réception IMAP d’un utilisateur (imap:///fetch>UID>/INBOX).

    L’équipe de recherche a déclaré avoir testé 20 clients de messagerie électronique pour leur scénario d’attaque et a constaté que quatre clients étaient vulnérables. Cette liste comprenait :

  • Evolution, le client de messagerie par défaut pour l’environnement de bureau GNOME sous Linux (voir CVE-2020-11879)
  • KMail, le client de courrier électronique par défaut pour les environnements de bureau KDE sous Linux (voir CVE-2020-11880)
  • IBM/HCL Notes sur Windows (voir CVE-2020-4089)
  • Plusieurs anciennes versions de Thunderbird sous Linux (maintenant patchées)

    Tous les problèmes détectés ont été signalés aux équipes de développement respectives et corrigés ce printemps et cet été, selon les CVE susmentionnés.

Recherches complémentaires sur PGP et S/MIME

Cependant, l’équipe de recherche ne s’est pas concentré sur la documentation des implémentations du schéma URI mailto dans les clients de messagerie. C’est une petite partie du document que nous avons choisi de mettre en évidence dans cet article.

Dans leur article, les universitaires se sont principalement concentrés sur la recherche de bugs dans les clients de messagerie électronique qui pourraient être utilisés abusivement pour contourner (et non pas casser) les technologies de chiffrement du courrier électronique telles que PGP et S/MIME.

Les chercheurs ont déclaré avoir réussi à trouver trois nouvelles techniques d’attaque qui exploitaient les bugs des clients de messagerie pour voler les clés privées PGP des victimes, ce qui permettait ensuite aux attaquants de déchiffrer l’ensemble des communications de la victime.

Les trois nouvelles classes d’attaques sont énumérées ci-dessous, le point 3) étant la technique que nous avons décrite plus haut de manière plus détaillée (car cette technique peut être utilisée pour voler plus que des clés de chiffrement, comme toutes sortes d’autres fichiers) :

  1. Remplacement de la clé – Les clients de messagerie peuvent installer automatiquement les certificats contenus dans les communications S/MIME. Une telle fonctionnalité, si elle est disponible, peut être utilisée à mauvais escient pour remplacer silencieusement la clé publique utilisée pour chiffrer les messages destinés à une certaine entité.
  2. Dec/Sig oracles – En utilisant les paramètres standard mailto, les clients de messagerie peuvent être trompés pour décrypter des messages en texte chiffré ou pour signer des messages arbitraires, et les exfiltrer vers un serveur IMAP contrôlé par l’attaquant, si le client de messagerie prend en charge la sauvegarde automatique des brouillons de messages.
  3. Exfiltration des clés – Si le client de messagerie le permet, un attaquant peut créer un schéma d’URL mailto modifié, afin de forcer l’inclusion du fichier de clé privée OpenPGP sur le disque dans un courriel à renvoyer à l’attaquant.

    Au total, les universitaires ont déclaré que huit des vingt clients de messagerie électronique qu’ils ont testés pour leur projet de recherche étaient vulnérables à au moins une des trois attaques énumérées ci-dessus. Veuillez consulter le tableau et sa légende ci-dessous pour savoir quelles applications de clients de messagerie sont vulnérables à quoi, et comment.

    mailto-results.png

    Image : Müller et al.

Source : “ZDNet.com”

Leave a Reply