Eine Commandline-Injection-Lücke in Claws Mail ermöglichte über Umwege die Ausführung von Schadcode.
Im jüngsten Update des Mailprogramms Claws Mail ist eine Sicherheitslücke geschlossen worden, die über HTML-Links in bestimmten Konfigurationen die Ausführung von Code ermöglichte. Gefunden wurde die Lücke vom Autor dieses Artikels.
Das Open-Source-Mailprogramm Claws bietet ohne Plugins keine echte Unterstützung für HTML-Mails. Diese werden lediglich als reiner Text ohne Layout angezeigt. Allerdings werden einige wenige HTML-Features trotzdem unterstützt, so werden etwa Links angezeigt und können angeklickt werden.
Zur Verarbeitung von Links bietet Claws zwei Konfigurationsmöglichkeiten. Diese können zum einen über die jeweiligen Standards der Desktopumgebung verarbeitet werden, hierfür wird das Tool xdg-open aufgerufen. Alternativ kann man selbst konfigurieren, welches Programm mit dem entsprechenden Parameter aufgerufen wird, voreingestellt ist hierbei der Aufruf von Firefox.
Kommandozeilenargumente über Links einschleusen
Dabei wird der Inhalt des Links direkt an das entsprechende Programm über die Kommandozeile weitergegeben. Das Problem: Aufgrund eines Fehlers fand hier keine Prüfung statt, ob es sich dabei tatsächlich um einen Link handelt, und es wurden beliebige Zeichen zugelassen, was verschiedene Möglichkeiten für Angriffe bietet.
Zunächst könnte man auf die Idee kommen, dass man hier mittels Shellfunktionen Kommandos einfügen kann. Beispielsweise könnte man mittels eines Strichpunktes einen Befehl anhängen (";touch /tmp/pwn") oder eine Subshell aufrufen ("$(touch /tmp/pwn)"). Beides funktioniert allerdings nicht, da die entsprechende Kommandozeile nicht über eine Shell aufgerufen wird.
Was aber möglich ist: Man kann Kommandozeilenparameter übergeben, entweder direkt als Inhalt des Links oder durch ein Leerzeichen abgetrennt von einem echten Link.
Für die Auswirkungen eines Angriffs ist relevant, welche Möglichkeiten die jeweiligen Programme bei Kommandozeilenparametern bieten. Das Tool xdg-open hat nur extrem wenige Kommandozeilenparameter und keiner davon eignet sich für einen Angriff. Anders sieht das beim Firefox-Browser aus.
Firefox hat eine große Zahl an Kommandozeilenparametern. Unter Linux-Systemen bietet Firefox mittels des Parameters --display die Möglichkeit, den Browser auf einem entfernten X11-Server auszuführen. Der Hintergrund: Das unter Linux genutzte grafische System X11 ist netzwerkfähig und es ist möglich, eine Applikation auf einem System zu starten und die grafische Oberfläche auf einem anderen System anzuzeigen.
Ein Angriff kann nun folgendermaßen stattfinden: Man verschickt eine HTML-Mail mit einem Link, der Firefox öffnet und dabei auf einem X11-Server anzeigt, der im Internet erreichbar ist. Der Server befindet sich dabei unter der Kontrolle der oder des Angreifenden. Nach einem Klick auf den Link kann der Browser auf dem Server gesteuert werden. Durch die Speichern-Funktion des Browsers können beliebige Dateien auf dem System abgelegt werden.
Datei im Autostart-Ordner ermöglicht Schadcodeausführung
Auf diese Weise die Ausführung von Code zu erreichen, ist nicht mehr schwierig. Beispielsweise kann man eine passende Datei im Autostart-Ordner des Opfers ablegen, sie wird dann beim nächsten Neustart oder einer Neuanmeldung ausgeführt. Damit kann man beispielsweise eine Backdoor installieren, über die das System des Opfers kontrolliert werden kann.
Claws Mail ist ein Fork des Programms Sylpheed, das ebenfalls betroffen ist. Allerdings wird dort standardmäßig nur xdg-open als Option angeboten, andere Programme müssten Nutzer manuell konfigurieren. Damit sind verwundbare Konfigurationen unwahrscheinlicher. Die Entwickler von Sylpheed haben auf die Meldung der Lücke nicht reagiert und von dem Programm gab es seit mehreren Jahren kein Update mehr.
In Claws-Mail wurde die Lücke, welche die Kennung CVE-2021-33746 trägt, in den Claws-Versionen 3.18.0 und 4.0.0 geschlossen. Alle älteren Versionen sind verwundbar.
Claws Mail: Code-Execution-Exploit über X11-Netzwerkprotokoll - Golem.de - Golem.de
Read More
No comments:
Post a Comment