• IT-Karriere:
  • Services:

Sicherheitslücke in Mailclients: E-Mails versenden als potus@whitehouse.gov

Ein Request for Comments aus dem Jahr 1992 ermöglicht einen Angriff auf fast alle Mailclients. So lassen sich glaubhaft aussehende E-Mails mit beliebiger Absenderadresse verschicken.

Artikel von veröffentlicht am
Fast alle modernen Mailclients können mit dieser Methode ausgetrickst werden.
Fast alle modernen Mailclients können mit dieser Methode ausgetrickst werden. (Bild: Sabri Haddouche)

Eine Sicherheitslücke in zahlreichen Mailclients ermöglicht es Angreifern, E-Mails mit beliebiger Absenderadresse zu verschicken. Bekannte Sicherungsmaßnahmen wie SPF und DKIM greifen nicht, weil der Angriff auf dem Client selbst stattfindet. Der Fehler liegt auch in dem RFC-1342 aus dem Jahr 1992. Zahlreiche Patches wurden bereits veröffentlicht, die ersten Hersteller wurden nach Aussagen des Sicherheitsforschers Sabri Haddouche bereits vor fünf Monaten informiert.

Stellenmarkt
  1. Bechtle AG, Bonn
  2. Bauerfeind AG, Zeulenroda-Triebes

Die Sicherheitslücke mit dem Namen Mailsploit lässt sich in E-Mail-Clients wie Thunderbird oder Apple-Mail ausnutzen, von den bekannten Anbietern ist einer allerdings nicht betroffen: Googles Gmail-Webclient. Angreifer können ausnutzen, dass der RFC-1342 eine Möglichkeit beschreibt, Nicht-ASCII-Zeichen so in E-Mail-Headern unterzubringen, dass der Mail-Transfer-Agent nicht in seiner Funktion beeinträchtigt wird.

En Angreifer gibt in Apple Mail zunächst den String "From: =?utf-8?b?${base64_encode('potus@whitehouse.gov')}?==?utf-8?Q?=00?==?utf-8?b?${base64_encode('(potus@whitehouse.gov)')}?=@mailsploit.com" in das Absenderfeld ein. Dieser Ausdruck wird von der Mail-App zu "From: potus@whitehouse.gov\0(potus@whitehouse.gov)@mailsploit.com" decodiert.

Absender wird nur im erweiterten Header korrekt angezeigt

Als Absender wird dem Nutzer im Client dann nur potus@whitehouse.gov angezeigt. Das liegt daran, dass der Mailclient in iOS nach Angaben von Haddouche alle Eingaben nach dem Null-Byte ignoriert beziehungsweise unter MacOS gar nicht erst parsed. Schauen Nutzer im detaillierten Header nach, fällt der Betrug allerdings auf. Auffallen würde der Betrug auch, wenn Nutzer auf "Antworten" klicken - hier kann aber einfach ein Reply-to-Kommando eingefügt werden. Bei anderen Mailclients kann das Verhalten leicht abweichen und möglicherweise Hinweise auf den versuchten Betrug geben.

Bei dem so dargestellten Betrug wird nicht der Mailserver selbst angegriffen, sondern der Client. Damit werden Sicherungsmaßnahmen wie das Sender Policy Framework (SPF) und Domainkeys Identified Mail (DKIM) nicht aktiv. Dabei soll ein TXT-Record beziehungsweise ein hinterlegter Public-Key auf dem Mailserver verhindern, dass nichtautorisierte Server im Namen der Domain E-Mails versenden.

Mozilla und Opera wollen den Bug nach Angaben von Haddouche nicht schließen, Apple hat bislang noch keinen Patch freigegeben. Nicht betroffen von dem Bug sind die Microsoft-Produkte Outlook Web, Exchange 360 und Office 365. Auch Gmail, Fastmail und GMX, Mail.com und 1&1 Mail sollen nicht verwundbar sein. Eine nach Angaben von Haddouche nicht zwangsläufig abschließende Liste verwundbarer Clients findet sich in diesem Google Doc. Haddouche sagte Golem.de: "Ich danke allen Herstellern, die umgehend auf die Berichte reagiert haben - und ihre Nutzer schützen. Leider haben nicht alle so gehandelt."

Haddouche arbeitet für das in Berlin ansässige Unternehmen Wire im Sicherheitsteam. Wire entwickelt einen verschlüsselten Instant-Messenger mit Businessfunktionen und steht damit durchaus auch in Konkurrenz zu etablierten Mailanbietern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Resident Evil Village für 49,99€, Wochenangebote (u. a. Resident Evil 7 Gold Edition für...
  2. (u. a. Xiaomi Redmi Note 9 128GB 6.53 Zoll FHD+ inkl. Kopfhörer für 179,90€, Xiaomi Mi 10T...
  3. (u. a. Eufy Smart-Home-Produkte, Xiaomi Redmi Note 9T 5G 64GB, 6.53 Zoll FHD+ DotDisplay 90Hz für...
  4. (u. a. MatePad T 10s 10,1 Zoll 64GB für 175€, MateBook D 15 Zoll Ultrabook Ryzen 7 8GB 512GB SSD...

hjp 05. Dez 2017

Die aktuelle Version (seit 1996!) ist RFC 2047. Ich muss also nicht in RFC 1342...

Berlinlowa 05. Dez 2017

Mein GMX Webmail Client ist verwundbar mit der traditionellen Variante 5. Dort steht...

gumnade 05. Dez 2017

Schade, da komme ich mit S/MIME nicht weit ... Aber es wäre wirklich eine sehr effiziente...

Schnuffel 05. Dez 2017

Mutt ist sowieso der beste MUA (für mich).

Askaaron 05. Dez 2017

Zitat: Ein Angreifer gibt in Apple Mail zunächst den String "From: =?utf-8?b...


Folgen Sie uns
       


Sprachsteuerung mit Apple Music im Vergleich

Eigentlich sollen smarte Lautsprecher den Musikkonsum auf Zuruf besonders bequem machen - aber das gelingt oftmals nicht. Überraschenderweise spielen Siri, Google Assistant und Alexa bei gleichen Sprachbefehlen andere Sachen, obwohl alle auf Apple Music zugreifen.

Sprachsteuerung mit Apple Music im Vergleich Video aufrufen
Data-Mining: Wertvolle Informationen aus Datenhaufen ziehen
Data-Mining
Wertvolle Informationen aus Datenhaufen ziehen

Betreiber von Onlineshops wollen wissen, was sich verkauft und was nicht. Mit Data-Mining lassen sich aus den gesammelten Daten über Kunden solche und andere nützliche Informationen ziehen. Es birgt aber auch Risiken.
Von Boris Mayer


    BVG: Lieber ungeschützt im Nahverkehr
    BVG
    Lieber ungeschützt im Nahverkehr

    In einem Streit mit dem BSI definiert sich die BVG als klein, um unsicher bleiben zu dürfen. Das ist kleinkariert und absurd.
    Ein IMHO von Moritz Tremmel

    1. Mobilitätswende Berlin schickt 100. Elektrobus auf die Straße
    2. Solaris Urbino 18 electric Berliner Verkehrsbetriebe mit elektrischen Gelenkbussen
    3. Dekarbonisierung Alle Berliner Busse werden elektrisch

    Spitzenglättung: Die Pläne zur Zwangsabschaltung von Wallboxen gehen zu weit
    Spitzenglättung
    Die Pläne zur Zwangsabschaltung von Wallboxen gehen zu weit

    Die Netzbetreiber wollen in großem Umfang in die Anschlüsse der Verbraucher eingreifen. Das macht die Elektromobilität unnötig teuer und kompliziert.
    Ein IMHO von Friedhelm Greis

    1. CES 2021 So geht eine Messe in Pandemie-Zeiten
    2. USA Die falsche Toleranz im Silicon Valley muss endlich aufhören
    3. Handyortung Sinnloser Traum vom elektronischen Zaun gegen Corona

      •  /