Abo
  • IT-Karriere:

Sicherheitslücke in Mailclients: E-Mails versenden als potus@whitehouse.gov

Ein Request for Comments aus dem Jahr 1992 ermöglicht einen Angriff auf fast alle Mailclients. So lassen sich glaubhaft aussehende E-Mails mit beliebiger Absenderadresse verschicken.

Artikel von veröffentlicht am
Fast alle modernen Mailclients können mit dieser Methode ausgetrickst werden.
Fast alle modernen Mailclients können mit dieser Methode ausgetrickst werden. (Bild: Sabri Haddouche)

Eine Sicherheitslücke in zahlreichen Mailclients ermöglicht es Angreifern, E-Mails mit beliebiger Absenderadresse zu verschicken. Bekannte Sicherungsmaßnahmen wie SPF und DKIM greifen nicht, weil der Angriff auf dem Client selbst stattfindet. Der Fehler liegt auch in dem RFC-1342 aus dem Jahr 1992. Zahlreiche Patches wurden bereits veröffentlicht, die ersten Hersteller wurden nach Aussagen des Sicherheitsforschers Sabri Haddouche bereits vor fünf Monaten informiert.

Stellenmarkt
  1. KDO Service GmbH, Oldenburg
  2. Computacenter AG & Co. oHG, verschiedene Standorte

Die Sicherheitslücke mit dem Namen Mailsploit lässt sich in E-Mail-Clients wie Thunderbird oder Apple-Mail ausnutzen, von den bekannten Anbietern ist einer allerdings nicht betroffen: Googles Gmail-Webclient. Angreifer können ausnutzen, dass der RFC-1342 eine Möglichkeit beschreibt, Nicht-ASCII-Zeichen so in E-Mail-Headern unterzubringen, dass der Mail-Transfer-Agent nicht in seiner Funktion beeinträchtigt wird.

En Angreifer gibt in Apple Mail zunächst den String "From: =?utf-8?b?${base64_encode('potus@whitehouse.gov')}?==?utf-8?Q?=00?==?utf-8?b?${base64_encode('(potus@whitehouse.gov)')}?=@mailsploit.com" in das Absenderfeld ein. Dieser Ausdruck wird von der Mail-App zu "From: potus@whitehouse.gov\0(potus@whitehouse.gov)@mailsploit.com" decodiert.

Absender wird nur im erweiterten Header korrekt angezeigt

Als Absender wird dem Nutzer im Client dann nur potus@whitehouse.gov angezeigt. Das liegt daran, dass der Mailclient in iOS nach Angaben von Haddouche alle Eingaben nach dem Null-Byte ignoriert beziehungsweise unter MacOS gar nicht erst parsed. Schauen Nutzer im detaillierten Header nach, fällt der Betrug allerdings auf. Auffallen würde der Betrug auch, wenn Nutzer auf "Antworten" klicken - hier kann aber einfach ein Reply-to-Kommando eingefügt werden. Bei anderen Mailclients kann das Verhalten leicht abweichen und möglicherweise Hinweise auf den versuchten Betrug geben.

Bei dem so dargestellten Betrug wird nicht der Mailserver selbst angegriffen, sondern der Client. Damit werden Sicherungsmaßnahmen wie das Sender Policy Framework (SPF) und Domainkeys Identified Mail (DKIM) nicht aktiv. Dabei soll ein TXT-Record beziehungsweise ein hinterlegter Public-Key auf dem Mailserver verhindern, dass nichtautorisierte Server im Namen der Domain E-Mails versenden.

Mozilla und Opera wollen den Bug nach Angaben von Haddouche nicht schließen, Apple hat bislang noch keinen Patch freigegeben. Nicht betroffen von dem Bug sind die Microsoft-Produkte Outlook Web, Exchange 360 und Office 365. Auch Gmail, Fastmail und GMX, Mail.com und 1&1 Mail sollen nicht verwundbar sein. Eine nach Angaben von Haddouche nicht zwangsläufig abschließende Liste verwundbarer Clients findet sich in diesem Google Doc. Haddouche sagte Golem.de: "Ich danke allen Herstellern, die umgehend auf die Berichte reagiert haben - und ihre Nutzer schützen. Leider haben nicht alle so gehandelt."

Haddouche arbeitet für das in Berlin ansässige Unternehmen Wire im Sicherheitsteam. Wire entwickelt einen verschlüsselten Instant-Messenger mit Businessfunktionen und steht damit durchaus auch in Konkurrenz zu etablierten Mailanbietern.



Anzeige
Spiele-Angebote
  1. 1,12€
  2. (-88%) 3,50€
  3. (-77%) 11,50€

hjp 05. Dez 2017

Die aktuelle Version (seit 1996!) ist RFC 2047. Ich muss also nicht in RFC 1342...

Berlinlowa 05. Dez 2017

Mein GMX Webmail Client ist verwundbar mit der traditionellen Variante 5. Dort steht...

gumnade 05. Dez 2017

Schade, da komme ich mit S/MIME nicht weit ... Aber es wäre wirklich eine sehr effiziente...

Schnuffel 05. Dez 2017

Mutt ist sowieso der beste MUA (für mich).

Askaaron 05. Dez 2017

Zitat: Ein Angreifer gibt in Apple Mail zunächst den String "From: =?utf-8?b...


Folgen Sie uns
       


Super Mario Maker 2 & Co.: Vom Spieler zum Gamedesigner
Super Mario Maker 2 & Co.
Vom Spieler zum Gamedesigner

Dreams, Overwatch Workshop und Super Mario Maker 2: Editoren für Computerspiele werden immer mächtiger, inzwischen können auch Einsteiger komplexe Welten bauen. Ein Überblick.
Von Achim Fehrenbach

  1. Nintendo Akku von überarbeiteter Switch schafft bis zu 9 Stunden
  2. Hybridkonsole Nintendo überarbeitet offenbar Komponenten der Switch
  3. Handheld Nintendo stellt die Switch Lite für unterwegs vor

Erasure Coding: Das Ende von Raid kommt durch Mathematik
Erasure Coding
Das Ende von Raid kommt durch Mathematik

In vielen Anwendungsszenarien sind Raid-Systeme mittlerweile nicht mehr die optimale Lösung. Zu langsam und starr sind sie. Abhilfe schaffen können mathematische Verfahren wie Erasure Coding. Noch existieren für beide Techniken Anwendungsgebiete. Am Ende wird Raid aber wohl verschwinden.
Eine Analyse von Oliver Nickel

  1. Agentur für Cybersicherheit Cyberwaffen-Entwicklung zieht in den Osten Deutschlands
  2. Yahoo Richterin lässt Vergleich zu Datenleck platzen

Ricoh GR III im Test: Kompaktkamera mit Riesensensor, aber ohne Zoom
Ricoh GR III im Test
Kompaktkamera mit Riesensensor, aber ohne Zoom

Kann das gutgehen? Ricoh hat mit der GR III eine Kompaktkamera im Sortiment, die mit einem APS-C-Sensor ausgerüstet ist, rund 900 Euro kostet und keinen Zoom bietet. Wir haben die Kamera ausprobiert.
Ein Test von Andreas Donath

  1. Theta Z1 Ricoh stellt 360-Grad-Panoramakamera mit Profifunktionen vor
  2. Ricoh GR III Eine halbe Sekunde Belichtungszeit ohne Stativ

    •  /