• IT-Karriere:
  • Services:

Sicherheitslücke in Mailclients: E-Mails versenden als potus@whitehouse.gov

Ein Request for Comments aus dem Jahr 1992 ermöglicht einen Angriff auf fast alle Mailclients. So lassen sich glaubhaft aussehende E-Mails mit beliebiger Absenderadresse verschicken.

Artikel von veröffentlicht am
Fast alle modernen Mailclients können mit dieser Methode ausgetrickst werden.
Fast alle modernen Mailclients können mit dieser Methode ausgetrickst werden. (Bild: Sabri Haddouche)

Eine Sicherheitslücke in zahlreichen Mailclients ermöglicht es Angreifern, E-Mails mit beliebiger Absenderadresse zu verschicken. Bekannte Sicherungsmaßnahmen wie SPF und DKIM greifen nicht, weil der Angriff auf dem Client selbst stattfindet. Der Fehler liegt auch in dem RFC-1342 aus dem Jahr 1992. Zahlreiche Patches wurden bereits veröffentlicht, die ersten Hersteller wurden nach Aussagen des Sicherheitsforschers Sabri Haddouche bereits vor fünf Monaten informiert.

Stellenmarkt
  1. QUNDIS GmbH, Erfurt
  2. Präsidium der Bay. Bereitschaftspolizei, München

Die Sicherheitslücke mit dem Namen Mailsploit lässt sich in E-Mail-Clients wie Thunderbird oder Apple-Mail ausnutzen, von den bekannten Anbietern ist einer allerdings nicht betroffen: Googles Gmail-Webclient. Angreifer können ausnutzen, dass der RFC-1342 eine Möglichkeit beschreibt, Nicht-ASCII-Zeichen so in E-Mail-Headern unterzubringen, dass der Mail-Transfer-Agent nicht in seiner Funktion beeinträchtigt wird.

En Angreifer gibt in Apple Mail zunächst den String "From: =?utf-8?b?${base64_encode('potus@whitehouse.gov')}?==?utf-8?Q?=00?==?utf-8?b?${base64_encode('(potus@whitehouse.gov)')}?=@mailsploit.com" in das Absenderfeld ein. Dieser Ausdruck wird von der Mail-App zu "From: potus@whitehouse.gov\0(potus@whitehouse.gov)@mailsploit.com" decodiert.

Absender wird nur im erweiterten Header korrekt angezeigt

Als Absender wird dem Nutzer im Client dann nur potus@whitehouse.gov angezeigt. Das liegt daran, dass der Mailclient in iOS nach Angaben von Haddouche alle Eingaben nach dem Null-Byte ignoriert beziehungsweise unter MacOS gar nicht erst parsed. Schauen Nutzer im detaillierten Header nach, fällt der Betrug allerdings auf. Auffallen würde der Betrug auch, wenn Nutzer auf "Antworten" klicken - hier kann aber einfach ein Reply-to-Kommando eingefügt werden. Bei anderen Mailclients kann das Verhalten leicht abweichen und möglicherweise Hinweise auf den versuchten Betrug geben.

Bei dem so dargestellten Betrug wird nicht der Mailserver selbst angegriffen, sondern der Client. Damit werden Sicherungsmaßnahmen wie das Sender Policy Framework (SPF) und Domainkeys Identified Mail (DKIM) nicht aktiv. Dabei soll ein TXT-Record beziehungsweise ein hinterlegter Public-Key auf dem Mailserver verhindern, dass nichtautorisierte Server im Namen der Domain E-Mails versenden.

Mozilla und Opera wollen den Bug nach Angaben von Haddouche nicht schließen, Apple hat bislang noch keinen Patch freigegeben. Nicht betroffen von dem Bug sind die Microsoft-Produkte Outlook Web, Exchange 360 und Office 365. Auch Gmail, Fastmail und GMX, Mail.com und 1&1 Mail sollen nicht verwundbar sein. Eine nach Angaben von Haddouche nicht zwangsläufig abschließende Liste verwundbarer Clients findet sich in diesem Google Doc. Haddouche sagte Golem.de: "Ich danke allen Herstellern, die umgehend auf die Berichte reagiert haben - und ihre Nutzer schützen. Leider haben nicht alle so gehandelt."

Haddouche arbeitet für das in Berlin ansässige Unternehmen Wire im Sicherheitsteam. Wire entwickelt einen verschlüsselten Instant-Messenger mit Businessfunktionen und steht damit durchaus auch in Konkurrenz zu etablierten Mailanbietern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Huawei MateBook D 14 WAQ9BR 14 Zoll IPS, Ryzen 5 3500U für 630,50€, Huawei MateBook D 15...
  2. 548,43€ (mit Rabattcode ""NBBHUAWEIWEEK" - Bestpreis!)
  3. (heutige Tagesangebote: u. a. Huawei MateBook D 13 + Huawei Freebuds 3 für 876,34€, Xiaomi Mi...

hjp 05. Dez 2017

Die aktuelle Version (seit 1996!) ist RFC 2047. Ich muss also nicht in RFC 1342...

Berlinlowa 05. Dez 2017

Mein GMX Webmail Client ist verwundbar mit der traditionellen Variante 5. Dort steht...

gumnade 05. Dez 2017

Schade, da komme ich mit S/MIME nicht weit ... Aber es wäre wirklich eine sehr effiziente...

Schnuffel 05. Dez 2017

Mutt ist sowieso der beste MUA (für mich).

Askaaron 05. Dez 2017

Zitat: Ein Angreifer gibt in Apple Mail zunächst den String "From: =?utf-8?b...


Folgen Sie uns
       


Patrick Schlegels Visitenkarte spielt Musik und würfelt

Eine Visitenkarte muss nicht immer aus langweiligem Papier sein. Patrick Schlegels Visitenkarte hat einen USB-Speicher, spielt Musik und kann würfeln.

Patrick Schlegels Visitenkarte spielt Musik und würfelt Video aufrufen
Materiejets aus schwarzem Loch: Schneller als das Licht?
Materiejets aus schwarzem Loch
Schneller als das Licht?

Das schwarze Loch stößt Materie mit einer Geschwindigkeit aus, die wie Überlichtgeschwindigkeit aussieht.
Ein Bericht von Andreas Lutter

  1. Oumuamua Ein ganz normal merkwürdiger interstellarer Asteroid

Laravel/Telescope: Die Sicherheitslücke bei einer Bank, die es nicht gibt
Laravel/Telescope
Die Sicherheitslücke bei einer Bank, die es nicht gibt

Ein Leser hat uns auf eine Sicherheitslücke auf der Webseite einer Onlinebank hingewiesen. Die Lücke war echt und betrifft auch andere Seiten - die Bank jedoch scheint es nie gegeben zu haben.
Ein Bericht von Hanno Böck

  1. IT-Sicherheitsgesetz Regierung streicht Passagen zu Darknet und Passwörtern
  2. Callcenter Sicherheitsexperte hackt Microsoft-Betrüger
  3. Sicherheit "E-Mail ist das Fax von morgen"

Außerirdische Intelligenz: Warum haben wir noch keine Aliens gefunden?
Außerirdische Intelligenz
Warum haben wir noch keine Aliens gefunden?

Seit Jahrzehnten gucken wir mit Teleskopen tief ins All. Außerirdische haben wir zwar bisher nicht entdeckt, das ist aber kein Grund, an ihrer Existenz zu zweifeln.
Von Miroslav Stimac


      •  /