image

Lek in Apple Mail maakte diefstal van e-mails en accounts mogelijk

vrijdag 2 april 2021, 13:40 door Redactie, 9 reacties

Een kwetsbaarheid in Apple Mail voor macOS maakte het mogelijk voor een aanvaller om e-mails en accounts van gebruikers te stelen zonder enige interactie van het slachtoffer. Alleen het versturen van een malafide e-mail was voldoende. Apple kwam vorig jaar juli met een beveiligingsupdate, maar de details zijn nu pas bekendgemaakt.

Apple Mail beschikt over een feature waarbij het e-mailbijlagen tussen Mail-gebruikers automatisch inpakt en uitpakt. Apple Mail comprimeert de bijlage van de afzender met zip en voegt een optie aan de MIME-headers toe. Wanneer een andere Mail-gebruiker de e-mail ontvangt zal de gecomprimeerde bijlage automatisch worden uitgepakt.

Beveiligingsonderzoeker Mikko Kenttälä ontdekte dat de uitgepakte data niet uit de tijdelijke directory wordt verwijderd en dat het niet om een unieke directory gaat. Een aanvaller kan hiervan gebruikmaken om door middel van symlinks in de meegestuurde zip-bestanden ongeautoriseerde schrijftoegang tot ~/Library/Mail en de $TMPDIR te krijgen en zo de configuratie van Apple Mail aan te passen, waardoor het doorsturen van e-mail mogelijk wordt.

Voor het uitvoeren van de aanval verstuurt een aanvaller een e-mail met twee zip-bestanden naar het slachtoffer. Het eerste zip-bestand bevat een symlink genaamd Mail die naar "$HOME/Library/Mail" wijst en een tekstbestand. Mail pakt het zip-bestand uit en laat de symlink achter. Het tweede zip-bestand bevat de configuratie-aanpassing voor Apple Mail. Door de aanwezige symlink wordt de inhoud van dit zip-bestand uitgepakt in Library/Mail.

Zo is het mogelijk om de configuratie van Apple Mail aan te passen en inkomende e-mail automatisch door te sturen naar een e-mailadres van de aanvaller. Die kan zo niet alleen vertrouwelijke e-mail in handen krijgen, maar ook wachtwoordresets uitvoeren. De resetmail wordt namelijk ook doorgestuurd, wat de overname van allerlei accounts mogelijk maakt.

Volgens Kenttälä zou remote code execution misschien ook mogelijk zijn, maar heeft hij dit niet verder onderzocht. Tevens zou de kwetsbaarheid voor een wormachtige aanval zijn te gebruiken, aangezien de malafide zip-bestanden via de signature van het slachtoffer aan elke verstuurde e-mail kunnen worden toegevoegd.

De onderzoeker waarschuwde Apple op 24 mei vorig jaar, dat vervolgens op 15 juli met een beveiligingsupdate kwam. Het bestaan van de kwetsbaarheid maakte Apple zelf pas op 12 november bekend. Het komt vaker voor dat Apple pas na het uitbrengen van een beveiligingsupdate laat weten welke kwetsbaarheden er zijn verholpen. Kenttälä heeft nu de technische details openbaar gemaakt. Welk bedrag hij voor zijn bugmelding krijgt is nog onbekend.

Image

Reacties (9)
02-04-2021, 15:32 door Anoniem
Het komt vaker voor dat Apple pas na het uitbrengen van een beveiligingsupdate laat weten welke kwetsbaarheden er zijn verholpen.
Niets nieuws onder de zon, want Google deed dat ook met Chrome. Die wachtte eerst met een verklaring totdat voldoende gebruikers de update hadden binnengehaald.
03-04-2021, 15:56 door Anoniem
Zo zie je maar, een registry voor het opslaan van configuratie is zo slecht nog niet.
(dan moet het OS natuurlijk niet zo orthogonaal zijn dat er filesystem paden zijn waarmee je de registry kunt overschrijven)

Microsoft programma's zetten configuratie in de registry en zijn hier niet gevoelig voor, maar we hebben andere aanbieders
zoals Mozilla ook al zien worstelen met dit soort van problemen, en rare sprongen zien maken zoals een random padnaam
voor hun configuratie bestanden...
03-04-2021, 16:32 door Anoniem
Door Anoniem: Zo zie je maar, een registry voor het opslaan van configuratie is zo slecht nog niet.
(dan moet het OS natuurlijk niet zo orthogonaal zijn dat er filesystem paden zijn waarmee je de registry kunt overschrijven)

Microsoft programma's zetten configuratie in de registry en zijn hier niet gevoelig voor, maar we hebben andere aanbieders
zoals Mozilla ook al zien worstelen met dit soort van problemen, en rare sprongen zien maken zoals een random padnaam
voor hun configuratie bestanden...

De reageerder is niet bekend met DLL-hell?
03-04-2021, 18:20 door Anoniem
Door Anoniem: Zo zie je maar, een registry voor het opslaan van configuratie is zo slecht nog niet.
(dan moet het OS natuurlijk niet zo orthogonaal zijn dat er filesystem paden zijn waarmee je de registry kunt overschrijven)

Microsoft programma's zetten configuratie in de registry en zijn hier niet gevoelig voor, maar we hebben andere aanbieders
zoals Mozilla ook al zien worstelen met dit soort van problemen, en rare sprongen zien maken zoals een random padnaam
voor hun configuratie bestanden...

whahahahahha en die registry is nog nooit corrupt geraakt op een windows systeem he :).... en what about als die gehele registry via die ene eenvoudige exploit uit te lezen is? een grapje zoals die OWA exchange laatst waarbij je ANYWHERE op een server een file kunt schrijven (en dus ook kunt lezen via een eenvoudige script deploy)?
03-04-2021, 23:54 door Anoniem
Zoals gewoonlijk de aandacht meteen afleiden naar Windows, want met Apple kan niets fout gaan!
04-04-2021, 09:11 door Anoniem
Door Anoniem: Zoals gewoonlijk de aandacht meteen afleiden naar Windows, want met Apple kan niets fout gaan!

ik denk dat de ONZIN van '15:56 door Anoniem' de reden is van de reacties DAAROP. lange tenen?
04-04-2021, 17:03 door Anoniem
Door Anoniem:
Door Anoniem: Zoals gewoonlijk de aandacht meteen afleiden naar Windows, want met Apple kan niets fout gaan!

ik denk dat de ONZIN van '15:56 door Anoniem' de reden is van de reacties DAAROP. lange tenen?

Precies, de Windows Registry was een oplossing voor een versplinterd landschap aan configuraties, en tegelijkertijd het proberen backward compatible houden van drivers en andere ondersteuning. Microsoft developers team heeft zelf toegegeven dat de Windows Registry een oplossing met veel problemen bleek te zijn.

De reactie van '15:56 door Anoniem' kon ik - en blijkbaar anderen ook - daarom geheel niet plaatsen.
05-04-2021, 09:37 door karma4
Door Anoniem:..ook al zien worstelen met dit soort van problemen, en rare sprongen zien maken zoals een random padnaam voor hun configuratie bestanden...
De reageerder is niet bekend met DLL-hell?[/quote]We hebben de DLL-hel ofwel het gebruik van software van anderen derde partijen waar de incompatibiliteit het niet goed mogelijk meerder softtwarepaketten op één systeem te hebben. Met DLL-versioning manifests in Windows is al veel opgelost. Het gebruik in shells met paden environment settings is nog steeds een hel.

We hebben de ini bestandjes config settings hel. Het Windows-register heeft veel opgelost en in centraal beheerde aanpak gezet. De problematiek verleggend naar vereiste gedegen beheer. De terugkerende vlucht naar vrijheid voor de gebruiker met een eigen invloed of zero impact (portable) maakt dat gebruikers nog steeds van alles zelf gaan zitten installeren waardoor hackers en malware vrij spel krijgen.

We hebben de VM en Cloud vlucht, gedegen beheer kost veel inspanning (kosten/geld) in het geloof dat andere technische oplossingen niet de problemen en geen nadelen zouden hebben wordt er telkens weer gevlucht in een herbouw.
Niet geheel verrassend blijven de problemen en vraagstukken opspelen.
Data classificatie risico overwegingen, kiezen zou beter gaan met kennis vooraf dan telkens in de valkuilen te stappen.
06-04-2021, 11:26 door Anoniem
Door Anoniem:
Door Anoniem: Zo zie je maar, een registry voor het opslaan van configuratie is zo slecht nog niet.
(dan moet het OS natuurlijk niet zo orthogonaal zijn dat er filesystem paden zijn waarmee je de registry kunt overschrijven)

Microsoft programma's zetten configuratie in de registry en zijn hier niet gevoelig voor, maar we hebben andere aanbieders
zoals Mozilla ook al zien worstelen met dit soort van problemen, en rare sprongen zien maken zoals een random padnaam
voor hun configuratie bestanden...

whahahahahha en die registry is nog nooit corrupt geraakt op een windows systeem he :)

Nee, dat heb ik inderdaad in al die jaren dat ik Windows systemen beheerd heb nog nooit meegemaakt zonder dat er een ongerelateerde oorzaak was, zoals een defecte harddisk.
Maar wellicht helpt het dat ik nog nooit een "cleaner" gebruikt heb, en het niet mijn hobby is om allerlei broddel software te installeren en dan weer te de-installeren door gewoon de directory weg te mikken?

Het is de laatste tijd niet beter geworden, de vroeger simpele waardes in de registry zijn tegenwoordig vaak vervallen tot een onontwarbare kluwen van verwijzingen naar weer andere sleutels, waar veel gemakkelijker een boel mee mis kan gaan, maar vreemd genoeg is die in de vorige eeuw gewortelde aversie tegen de registry bij sommige mensen (zie dit topic) nooit gewijzigd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.