Apple Mail Null-Klick-Sicherheitslücke ermöglicht E-Mail-Schnüffelei

Cyber Security News

Der Forscher bietet Details zu CVE-2020-9922, die allein durch das Senden einer E-Mail mit zwei ZIP-Dateien im Anhang an ein Ziel ausgelöst werden kann.

Eine Zero-Click-Sicherheitslücke in Apples macOS Mail würde es einem Cyberangreifer erlauben, beliebige Dateien innerhalb der Sandbox-Umgebung von Mail hinzuzufügen oder zu verändern, was zu einer Reihe von Angriffsarten führen kann.

Laut Mikko Kenttälä, Gründer und CEO von SensorFu, könnte die Ausnutzung des Fehlers zur unbefugten Offenlegung sensibler Informationen an Dritte führen; die Möglichkeit, die Mail-Konfiguration eines Opfers zu ändern, einschließlich Mail-Umleitungen, die die Übernahme anderer Konten des Opfers über Passwort-Rücksetzungen ermöglichen; und die Möglichkeit, die Konfiguration des Opfers zu ändern, so dass sich der Angriff wurmartig auf Korrespondenten ausbreiten kann.

Obwohl der Forscher die Details des Fehlers erst jetzt bekannt gibt, wurde er in macOS Mojave 10.14.6, macOS High Sierra 10.13.6 und macOS Catalina 10.15.5 gepatcht, so dass Benutzer entsprechend aktualisieren sollten.

Unbefugter Schreibzugriff

Kenttälä sagte, er habe den Fehler (CVE-2020-9922) durch das Senden von Testnachrichten und das Verfolgen von Syscalls des Mail-Prozesses entdeckt.

Er fand heraus, dass “Mail eine Funktion hat, die es ermöglicht, Anhänge automatisch zu dekomprimieren, die von einem anderen Mail-Benutzer automatisch komprimiert wurden”, erklärte er. “Im gültigen Anwendungsfall, wenn der Benutzer eine E-Mail erstellt und den Ordner als Anhang hinzufügt, wird diese automatisch mit ZIP komprimiert und x-mac-auto-archive=yes; wird zu den MIME-Headern hinzugefügt. Wenn ein anderer Mail-Benutzer diese E-Mail empfängt, werden die komprimierten Anhangsdaten automatisch entkomprimiert.”

Der Forscher entdeckte jedoch, dass Teile der unkomprimierten Daten nicht aus dem temporären Verzeichnis entfernt werden – und dass das Verzeichnis mehrere Funktionen erfüllt, was Angreifern erlaubt, innerhalb der Umgebung zu schwenken.

“[It] im Kontext von Mail nicht eindeutig ist, kann dies ausgenutzt werden, um über Symlinks innerhalb dieser gezippten Dateien unerlaubten Schreibzugriff auf ~/Library/Mail und auf $TMPDIR zu erhalten”, erklärt Kenttälä.

Null-Klick-Angriff Pfad

Um den Fehler auszunutzen, könnte ein Cyberangreifer zwei ZIP-Dateien als Anhänge per E-Mail an das Opfer senden, so die Analyse. Wenn ein Benutzer die E-Mail erhält, analysiert die Mail-App diese, um alle Anhänge mit dem Header x-mac-auto-archive=yes zu finden. Mail entpackt diese Dateien dann automatisch.

“Das erste .ZIP enthält einen Symlink namens Mail, der auf das $HOME/Library/Mail des Opfers und die Datei 1.txt zeigt”, so Kenttälä. “Das .ZIP wird nach $TMPDIR/com.apple.mail/bom/ dekomprimiert. Basierend auf dem Dateiname=1.txt.zip-Header wird 1.txt in den Mail Director kopiert und alles funktioniert wie erwartet. Allerdings wird die Bereinigung nicht richtig durchgeführt und der Symlink bleibt an Ort und Stelle.”

Dieser zurückgelassene Symlink verankert die zweite Stufe des Angriffs.

“Das zweite angehängte .ZIP enthält die Änderungen, die an $HOME/Library/Mail vorgenommen werden sollen. Dadurch werden beliebige Dateischreibrechte für Library/Mail vergeben”, erklärt der Forscher. “In meinem Beispielfall habe ich neue Mail-Regeln für die Mail-Anwendung geschrieben. Damit können Sie der Mail-Anwendung des Opfers eine automatische Weiterleitungsregel hinzufügen.”

Dieser willkürliche Schreibzugriff bedeutet, dass ein Angreifer alle Dateien in $HOME/Library/Mail manipulieren kann, fügte er hinzu.

CVE-2020-9922 wird auf der CVSS-Schwachstellen-Skala mit 6,5 bewertet und ist damit von mittlerer Schwere, aber der Forscher betonte, dass eine erfolgreiche Ausnutzung “zu vielen schlimmen Dingen führen könnte.”

“Wie gezeigt, führt dies zur Offenlegung der sensiblen Daten für einen Dritten durch Manipulation der Konfiguration der Mail-Anwendung”, sagte er. “Eine der verfügbaren Konfigurationsoptionen ist die Signatur des Benutzers, die verwendet werden könnte, um diese Schwachstelle wurmfähig zu machen. Es besteht auch die Möglichkeit, dass dies zu einer Remote-Code-Execution (RCE)-Schwachstelle führen könnte, aber so weit bin ich nicht gegangen.”

Schauen Sie sich unsere kommenden kostenlosen Live-Webinar-Events an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community: 21. April: Unterirdische Märkte: Ein Rundgang durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

Einige Teile dieses Artikels stammen aus:
threatpost.com