Abo
  • Services:

Sicherheitslücke in Mailclients: E-Mails versenden als potus@whitehouse.gov

Ein Request for Comments aus dem Jahr 1992 ermöglicht einen Angriff auf fast alle Mailclients. So lassen sich glaubhaft aussehende E-Mails mit beliebiger Absenderadresse verschicken.

Artikel von veröffentlicht am
Fast alle modernen Mailclients können mit dieser Methode ausgetrickst werden.
Fast alle modernen Mailclients können mit dieser Methode ausgetrickst werden. (Bild: Sabri Haddouche)

Eine Sicherheitslücke in zahlreichen Mailclients ermöglicht es Angreifern, E-Mails mit beliebiger Absenderadresse zu verschicken. Bekannte Sicherungsmaßnahmen wie SPF und DKIM greifen nicht, weil der Angriff auf dem Client selbst stattfindet. Der Fehler liegt auch in dem RFC-1342 aus dem Jahr 1992. Zahlreiche Patches wurden bereits veröffentlicht, die ersten Hersteller wurden nach Aussagen des Sicherheitsforschers Sabri Haddouche bereits vor fünf Monaten informiert.

Stellenmarkt
  1. IT des Bezirks Oberbayern GmbH, München
  2. PHOENIX CONTACT Electronics GmbH, Berlin

Die Sicherheitslücke mit dem Namen Mailsploit lässt sich in E-Mail-Clients wie Thunderbird oder Apple-Mail ausnutzen, von den bekannten Anbietern ist einer allerdings nicht betroffen: Googles Gmail-Webclient. Angreifer können ausnutzen, dass der RFC-1342 eine Möglichkeit beschreibt, Nicht-ASCII-Zeichen so in E-Mail-Headern unterzubringen, dass der Mail-Transfer-Agent nicht in seiner Funktion beeinträchtigt wird.

En Angreifer gibt in Apple Mail zunächst den String "From: =?utf-8?b?${base64_encode('potus@whitehouse.gov')}?==?utf-8?Q?=00?==?utf-8?b?${base64_encode('(potus@whitehouse.gov)')}?=@mailsploit.com" in das Absenderfeld ein. Dieser Ausdruck wird von der Mail-App zu "From: potus@whitehouse.gov\0(potus@whitehouse.gov)@mailsploit.com" decodiert.

Absender wird nur im erweiterten Header korrekt angezeigt

Als Absender wird dem Nutzer im Client dann nur potus@whitehouse.gov angezeigt. Das liegt daran, dass der Mailclient in iOS nach Angaben von Haddouche alle Eingaben nach dem Null-Byte ignoriert beziehungsweise unter MacOS gar nicht erst parsed. Schauen Nutzer im detaillierten Header nach, fällt der Betrug allerdings auf. Auffallen würde der Betrug auch, wenn Nutzer auf "Antworten" klicken - hier kann aber einfach ein Reply-to-Kommando eingefügt werden. Bei anderen Mailclients kann das Verhalten leicht abweichen und möglicherweise Hinweise auf den versuchten Betrug geben.

Bei dem so dargestellten Betrug wird nicht der Mailserver selbst angegriffen, sondern der Client. Damit werden Sicherungsmaßnahmen wie das Sender Policy Framework (SPF) und Domainkeys Identified Mail (DKIM) nicht aktiv. Dabei soll ein TXT-Record beziehungsweise ein hinterlegter Public-Key auf dem Mailserver verhindern, dass nichtautorisierte Server im Namen der Domain E-Mails versenden.

Mozilla und Opera wollen den Bug nach Angaben von Haddouche nicht schließen, Apple hat bislang noch keinen Patch freigegeben. Nicht betroffen von dem Bug sind die Microsoft-Produkte Outlook Web, Exchange 360 und Office 365. Auch Gmail, Fastmail und GMX, Mail.com und 1&1 Mail sollen nicht verwundbar sein. Eine nach Angaben von Haddouche nicht zwangsläufig abschließende Liste verwundbarer Clients findet sich in diesem Google Doc. Haddouche sagte Golem.de: "Ich danke allen Herstellern, die umgehend auf die Berichte reagiert haben - und ihre Nutzer schützen. Leider haben nicht alle so gehandelt."

Haddouche arbeitet für das in Berlin ansässige Unternehmen Wire im Sicherheitsteam. Wire entwickelt einen verschlüsselten Instant-Messenger mit Businessfunktionen und steht damit durchaus auch in Konkurrenz zu etablierten Mailanbietern.



Anzeige
Top-Angebote
  1. 269,00€
  2. (heute u. a. JBL E50BT Over-ear Kopfhörer 49,00€ statt 149,00€)
  3. 159€

hjp 05. Dez 2017

Die aktuelle Version (seit 1996!) ist RFC 2047. Ich muss also nicht in RFC 1342...

Berlinlowa 05. Dez 2017

Mein GMX Webmail Client ist verwundbar mit der traditionellen Variante 5. Dort steht...

gumnade 05. Dez 2017

Schade, da komme ich mit S/MIME nicht weit ... Aber es wäre wirklich eine sehr effiziente...

Schnuffel 05. Dez 2017

Mutt ist sowieso der beste MUA (für mich).

Askaaron 05. Dez 2017

Zitat: Ein Angreifer gibt in Apple Mail zunächst den String "From: =?utf-8?b...


Folgen Sie uns
       


Pocophone F1 - Test

Das Pocophone F1 gehört zu den günstigsten Topsmartphones auf dem Markt - nur 330 Euro müssen Käufer für das Gerät bezahlen. Dafür bekommen sie eine Dualkamera und einen Snapdragon 845. Wer mit ein paar Kompromissen leben kann, macht mit dem Smartphone nichts falsch.

Pocophone F1 - Test Video aufrufen
Athlon 200GE im Test: Celeron und Pentium abgehängt
Athlon 200GE im Test
Celeron und Pentium abgehängt

Mit dem Athlon 200GE belebt AMD den alten CPU-Markennamen wieder: Der Chip gefällt durch seine Zen-Kerne und die integrierte Vega-Grafikeinheit, die Intel-Konkurrenz hat dem derzeit preislich wenig entgegenzusetzen.
Ein Test von Marc Sauter

  1. AMD Threadripper erhalten dynamischen NUMA-Modus
  2. HP Elitedesk 705 Workstation Edition Minitower mit AMD-CPU startet bei 680 Euro
  3. Ryzen 5 2600H und Ryzen 7 2800H 45-Watt-CPUs mit Vega-Grafik für Laptops sind da

HP Elitebook 840 und Toshiba Tecra X40: Es kann nur eines geben
HP Elitebook 840 und Toshiba Tecra X40
Es kann nur eines geben

Nicht nur Lenovo baut gute Business-Notebooks, auch HP und Toshiba haben Produkte, die vergleichbar sind. Wir stellen je ein Modell der beiden Hersteller mit ähnlicher Hardware gegenüber: das eine leichter, das andere mit überlegenem Akku - ein knapper Gewinner nach Punkten.
Ein Test von Oliver Nickel

  1. Portégé X20W-D-145 Toshiba stellt alte Hardware im flexiblen Chassis vor
  2. Tecra X40-E-10W Toshibas 14-Zoll-Thinkpad-Pendant kommt mit LTE
  3. Dell, HP, Lenovo AMDs Ryzen Pro Mobile landet in allen Business-Notebooks

Kaufberatung: Der richtige smarte Lautsprecher
Kaufberatung
Der richtige smarte Lautsprecher

Der Markt für smarte Lautsprecher wird immer größer. Bei der Entscheidung für ein Gerät sind Kaufpreis und Klang wichtig, ebenso die Wahl für einen digitalen Assistenten: Alexa, Google Assistant oder Siri? Wir geben eine Übersicht.
Von Ingo Pakalski

  1. Amazon Alexa Echo Sub verhilft Echo-Lautsprechern zu mehr Bass
  2. Beosound 2 Bang & Olufsen bringt smarten Lautsprecher für 2.000 Euro
  3. Google und Amazon Markt für smarte Lautsprecher wächst weiter stark

    •  /