Auf dieser Website werden Cookies gesetzt, die für den sicheren Betrieb technisch erforderlich sind. Siehe: Datenschutz

HCL Notes: Sicherheitslücke im "mailto" protocol handler

von Manuel,
assono GmbH, Standort Kiel,

HCL informiert auf seiner PSIRT Site über eine Schwachstelle mit niedrigem Score. Leider bleibt die Beschreibung relativ vage:

“A vulnerability in the mailto protocol handler of the Notes client could allow an unauthenticated, remote attacker to conduct an information leakage attack and gain access to files accessible to the affected system. The vulnerability is due to insufficient protections on extensions to the mailto URL syntax. An attacker could exploit this vulnerability by persuading a user of the software to follow a maliciously crafted mailto link. A successful exploit could allow the attacker to attach arbitrary files to an outgoing email that the victim could unknowingly send to the attacker.”

— HCL auf dem PSIRT Blog

Das ist, was ich verstehe:

mailto-Links auf Webseiten, in E-Mails oder Dokumenten können in einer Weise gebildet werden, dass es möglich ist Anhänge, auf die der aktuelle Nutzer Zugriff hat, an eine neue Mail anzuhängen und diese auch unbemerkt abzusenden.

Anhänge und Absenden sind im mailto-Protokoll nicht vorgesehen, so dass eigentlich m.E. nur denkbar ist, dass der, im Link übergebene, Body (Javascript-? Formula-?) Skriptelemente oder ähnliches enthält, die von Notes nicht sanitized bzw. ungeprüft direkt ausgeführt werden.

Damit das überhaupt für einen Angreifer "sinnvoll" passieren kann, muss eine von zwei Voraussetzungen erfüllt sein:

  1. Entweder ist der gewünschte Anhang eine Datei, die sich auf den meisten angegriffenen Systemen befindet. Das dürften Dateien aus dem Betriebssystem oder von Standardprogrammen (auch Notes) sein. Diese Dateien (Registry, Konfigurationsdateien, Schlüssel) können dann ggf. der Vorbereitung weiterer Angriffe dienen.
  2. Oder der Angreifer hat bereits detailliertes Wissen über die Dateien, auf die der Nutzer Zugriff hat und benutzt den Link nur noch, um die Daten unbemerkt auszuschleusen

In beiden Fällen ist der Angriff mit dem Link alleine nicht vollzogen; es braucht mindestens einen weiteren Angriff zur Vor- oder Nachbereitung. Außerdem erhält der Angreifer keine zusätzlichen Rechte, über diejenigen des aktiven Nutzers hinaus. Das rechtfertigt vermutlich den niedrigen Score der Lücke.

Was tun?

Es gibt aktuell noch keinen Fix von HCL.

Die einzige Lösung ist daher aktuell, keine mailto-Links mehr an den Notes-Client zu übergeben, indem:

  • das mailto-protocol handling im Betriebssystem deaktiviert wird. (GPO in Windows)
  • Notes nicht mehr das Standardmailprogramm ist (GPO in Windows)
  • Nutzer aufgefordert werden, solche Links nicht mehr anzuklicken
  • solche Links mit Sicherheitssoftware herausgefiltert werden (Proxy, Mailsecurity u.ä.)

HCL arbeitet an einem Fix. Halten Sie auch unseren Blog für neue Informationen zum Thema im Auge.

Quellen:

Fachbeitrag HCL Notes Für Entwickler

Sie haben Fragen zu diesem Artikel? Kontaktieren Sie uns gerne: blog@assono.de

Sie haben Interesse an diesem Thema?

Gerne bieten wir Ihnen eine individuelle Beratung oder einen Workshop an.

Kontaktieren Sie uns

Weitere interessante Artikel

Sie haben Fragen?

Wenn Sie mehr über unsere Angebote erfahren möchten, können Sie uns jederzeit kontaktieren. Gerne erstellen wir eine individuelle Demo für Sie.

Wir verwenden Ihre Daten, um Sie einmalig per E-Mail zu kontaktieren. Wir geben Ihre Daten nicht an Dritte weiter. Siehe: Datenschutzhinweise
assono GmbH

Standort Kiel (Zentrale)
assono GmbH
Lise-Meitner-Straße 1–7
24223 Schwentinental

Standort Hamburg
assono GmbH
Bornkampsweg 58
22761 Hamburg

Telefonnummern:
Zentrale: +49 4307 900 407
Vertrieb: +49 4307 900 402

E-Mail-Adressen:
kontakt@assono.de
bewerbung@assono.de