Abo
  • IT-Karriere:

PGP/SMIME: Thunderbird-Update notwendig, um E-Fail zu verhindern

Thunderbird war bis Freitag für die E-Fail-Sicherheitslücke verwundbar, für Apple Mail gibt es bislang überhaupt kein Update. Vorläufig ist es empfehlenswert, HTML-Mails komplett zu deaktivieren.

Eine Exklusivmeldung von Hanno Böck veröffentlicht am
Efail konnte man auch nach einem Update von Enigmail noch ausnutzen.
Efail konnte man auch nach einem Update von Enigmail noch ausnutzen. (Bild: efail/CC0 1.0)

Nutzer des Thunderbird-Mailprogramms, die Mailverschlüsselung benutzen, sollten dringend das Update auf Version 52.8.0 installieren. Neben weiteren Sicherheitslücken werden darin verschiedene Bugs behoben, die es Angreifern ermöglichen, verschlüsselte Nachrichten zu exfiltrieren. Nach wie vor kein Update gibt es für Apple Mail, das ähnlich wie Thunderbird von der gravierendsten Variante der E-Fail-Sicherheitslücke betroffen ist.

Stellenmarkt
  1. GEOMAGIC GmbH, Leipzig
  2. JOB AG Industrial Service GmbH, Nürnberg (Home-Office)

Am Montag hatten Sicherheitsforscher zahlreiche Sicherheitsprobleme bei verschlüsselten Mails publiziert. Ein Entwickler von Enigmail hatte zwischenzeitlich behauptet, dass es überhaupt keinen Grund zur Sorge gäbe: Wer die aktuelle Version installiert habe, sei sicher. Doch das stimmte nicht. Zwar hatte Enigmail Gegenmaßnahmen implementiert, die waren jedoch relativ leicht zu umgehen.

Direct Exfiltration nutzt mehrere Mailparts

Die gravierendste Variante der E-Fail-Lücke ist die sogenannte Direct Exfiltration. Dabei nutzt ein Angreifer die Tatsache aus, dass HTML-Mails mit mehreren Teilen im Mailprogramm gemeinsam gerendert werden. In der simpelsten Variante kann ein Angreifer somit etwa ein Bild von seinem eigenen Server laden und dabei den HTML-Tag nicht schließen (etwa <img src="https://efail.de/x=). Anschließend fügt er den verschlüsselten Mailinhalt ein. Dieser wird dann direkt als Parameter angehängt.

Diese Variante funktioniert aber nur, wenn das Nachladen von Inhalten bei HTML-Mails aktiviert ist. Bei Thunderbird ist es das in der Standardeinstellung nicht. Weiterhin hatten die Entwickler von Enigmail zwischen den Mailparts Anführungszeichen eingefügt. Damit wurde das Anhängen als Parameter unterbrochen.

Mit Formularen lassen sich Gegenmaßnahmen von Enigmail austricksen

Gemeinsam mit Jens Müller, einem der Co-Autoren des E-Fail-Papers, gelang es dem Autor dieses Artikels jedoch, trotz dieser beiden Hürden Mailinhalte zu exfiltrieren. Statt dem Nachladen eines Bildes kann man auch ein Formular verwenden. In dieses Formular fügt man eine Textarea ein. Der Vorteil: Bei einem <textarea>-Tag wird der Inhalt nicht von Anführungszeichen eingeschlossen, sondern von HTML-Tags.

Thunderbird versuchte bereits bisher, das Abschicken eines Formulars in einer HTML-Mail zu verhindern. Bei einem Klick auf einen normalen HTML-Submit-Button (<input type="submit">) wird zwar die Ziel-URL geladen, es werden jedoch keine Daten übertragen. Doch diese Schutzmaßnahme von Thunderbird war unvollständig: Neben dem <input>-Tag kann man einen Formularbutton auch mit dem <button>-Element einfügen. Und da griff die Schutzmaßnahme bislang nicht.

Somit kann ein Angreifer Folgendes machen: Er erzeugt eine Mail, die ein Formular enthält. Im Formular gibt es ein Textarea-Feld, das den verschlüsselten Teil, der exfiltriert werden soll, einschließt. Weiterhin fügt der Angreifer mit dem <button>-Element einen Button ein.

Um das Ganze möglichst unauffällig zu machen, kann man das Textarea-Feld und den Button mittels CSS unsichtbar machen. Weiterhin kann man den Button über die gesamte Mail legen. Das hat zur Folge, dass ein beliebiger Mausklick irgendwo in der dargestellten Mail dazu führt, dass die Daten an den Angreifer geschickt werden.

In der jetzt veröffentlichten Thunderbird-Version ist das Abschicken von Formularen mittels des <button>-Tags nicht mehr möglich. Damit wird der Angriff in dieser Form verhindert.

Weitere Lücken denkbar

Nach wie vor stellt Thunderbird mehrere Mailteile in einem HTML-Kontext dar. Das soll erst in einer kommenden Version behoben werden. Daher ist es gut möglich, dass weitere Tricks gefunden werden, mit denen man Mailinhalte exfiltrieren kann. Es empfielt sich daher, die Darstellung von HTML-Mails generell abzuschalten.

Apple Mail ist laut Aussage der E-Fail-Entdecker weiterhin vollständig für die Direct-Exfiltration-Lücke verwundbar. Wir haben Apple um eine Stellungnahme gebeten, bisher aber keine Antwort erhalten.

Nach der Veröffentlichung von E-Fail kam es zu heftigen Diskussionen über die Art der Veröffentlichung und insbesondere über die Warnungen der Electronic Frontier Foundation. Ein entscheidender Aspekt wurde dabei bislang wenig beachtet: Trotz monatelanger Vorwarnzeit waren wichtige Softwareprojekte nicht in der Lage, rechtzeitig Sicherheitsupdates bereitzustellen.



Anzeige
Top-Angebote
  1. 149,90€
  2. (u. a. Tales of Vesperia: Definitive Edition für 21,99€, Tropico 5: Complete Collection für 6...
  3. (u. a. Hitman 2 - Gold Edition, The Elder Scrolls V: Skyrim - Special Edition, Battlefield 1)
  4. (u. a. Grimm - die komplette Serie, Atomic Blonde, Die Mumie, Jurassic World)

navtis 22. Mai 2018

Ist es, wenn man feststellt, dass die mail nicht signiert war, nicht längst zu spät?

Sharra 22. Mai 2018

Auch in "deiner Welt" kann man updates automatisieren... Was hier und da auch durchaus...

throgh 20. Mai 2018

Und? Wie lange hat es jetzt gedauert bis erste Korrekturen vorgelegen haben? Ja, Open...


Folgen Sie uns
       


Harry Potter Wizards Unite angespielt

Harry Potter Go? Zum Glück hat der neue AR-Titel auch ein paar eigene Ideen zu bieten.

Harry Potter Wizards Unite angespielt Video aufrufen
Minecraft Dungeons angespielt: Fehlt nur noch ein Klötzchen-Diablo in der Tiefe
Minecraft Dungeons angespielt
Fehlt nur noch ein Klötzchen-Diablo in der Tiefe

E3 2019 Von der Steuerung bis zu den Schatzkisten: Minecraft Dungeons hat uns beim Anspielen bis auf die Klötzchengrafik verblüffend stark an Diablo erinnert - und könnte gerade deshalb teuflisch spaßig werden!

  1. Augmented Reality Minecraft Earth erlaubt Klötzchenbauen in aller Welt
  2. Microsoft Augmented-Reality-Minecraft kommt zum zehnten Jubiläum
  3. Jubiläum ohne Notch Microsoft feiert Minecraft ohne Markus Persson

Autonomes Fahren: Per Fernsteuerung durch die Baustelle
Autonomes Fahren
Per Fernsteuerung durch die Baustelle

Was passiert, wenn autonome Autos in einer Verkehrssituation nicht mehr weiterwissen? Ein Berliner Fraunhofer-Institut hat dazu eine sehr datensparsame Fernsteuerung entwickelt. Doch es wird auch vor der Technik gewarnt.
Ein Bericht von Friedhelm Greis

  1. Neues Geschäftsfeld Huawei soll an autonomen Autos arbeiten
  2. Taxifahrzeug Volvo baut für Uber Basis eines autonomen Autos
  3. Autonomes Fahren Halter sollen bei Hackerangriffen auf Autos haften

Wolfenstein Youngblood angespielt: Warum wurden diese dämlichen Mädchen nicht aufgehalten!?
Wolfenstein Youngblood angespielt
"Warum wurden diese dämlichen Mädchen nicht aufgehalten!?"

E3 2019 Der erste Kill ist der schwerste: In Wolfenstein Youngblood kämpfen die beiden Töchter von B.J. Blazkowicz gegen Nazis. Golem.de hat sich mit Jess und Soph durch einen Zeppelin über dem belagerten Paris gekämpft.
Von Peter Steinlechner


      •  /