HCL informiert auf seiner PSIRT Site über eine Schwachstelle mit niedrigem Score. Leider bleibt die Beschreibung relativ vage:

“A vulnerability in the mailto protocol handler of the Notes client could allow an unauthenticated, remote attacker to conduct an information leakage attack and gain access to files accessible to the affected system. The vulnerability is due to insufficient protections on extensions to the mailto URL syntax. An attacker could exploit this vulnerability by persuading a user of the software to follow a maliciously crafted mailto link. A successful exploit could allow the attacker to attach arbitrary files to an outgoing email that the victim could unknowingly send to the attacker.”

Das ist, was ich verstehe:

mailto-Links auf Webseiten, in E-Mails oder Dokumenten können in einer Weise gebildet werden, dass es möglich ist Anhänge, auf die der aktuelle Nutzer Zugriff hat, an eine neue Mail anzuhängen und diese auch unbemerkt abzusenden.

Anhänge und Absenden sind im mailto-Protokoll nicht vorgesehen, so dass eigentlich m.E. nur denkbar ist, dass der, im Link übergebene, Body (Javascript-? Formula-?) Skriptelemente oder ähnliches enthält, die von Notes nicht sanitized bzw. ungeprüft direkt ausgeführt werden.

Damit das überhaupt für einen Angreifer "sinnvoll" passieren kann, muss eine von zwei Voraussetzungen erfüllt sein:

1. Entweder ist der gewünschte Anhang eine Datei, die sich auf den meisten angegriffenen Systemen befindet. Das dürften Dateien aus dem Betriebssystem oder von Standardprogrammen (auch Notes) sein. Diese Dateien (Registry, Konfigurationsdateien, Schlüssel) können dann ggf. der Vorbereitung weiterer Angriffe dienen.
2. Oder der Angreifer hat bereits detailliertes Wissen über die Dateien, auf die der Nutzer Zugriff hat und benutzt den Link nur noch, um die Daten unbemerkt auszuschleusen

In beiden Fällen ist der Angriff mit dem Link alleine nicht vollzogen; es braucht mindestens einen weiteren Angriff zur Vor- oder Nachbereitung. Außerdem erhält der Angreifer keine zusätzlichen Rechte, über diejenigen des aktiven Nutzers hinaus. Das rechtfertigt vermutlich den niedrigen Score der Lücke.

Was tun?

Es gibt aktuell noch keinen Fix von HCL.

Die einzige Lösung ist daher aktuell, keine mailto-Links mehr an den Notes-Client zu übergeben, indem:

• das mailto-protocol handling im Betriebssystem deaktiviert wird. (GPO in Windows)
• Notes nicht mehr das Standardmailprogramm ist (GPO in Windows)
• Nutzer aufgefordert werden, solche Links nicht mehr anzuklicken
• solche Links mit Sicherheitssoftware herausgefiltert werden (Proxy, Mailsecurity u.ä.)

HCL arbeitet an einem Fix. Halten Sie auch unseren Blog für neue Informationen zum Thema im Auge.

(Update 01.10.2020)

Der immer lesenswerte Daniel Nashed geht noch ein wenig ins Detail. Er widerspricht unter anderem meiner obigen Behauptung, die E-Mail könne unbemerkt gesendet werden.

Selber hatte ich zwischenzeitlich meinen Fehler bemerkt, dass Anhänge im mailto-Protokoll nicht vorgesehen seien. Das ist natürlich schon immer der Fall gewesen.

Es bleibt damit, dass ein Mailto-Link und die resultierende Mail möglicherweise so unübersichtlich entworfen wird, dass ein Anwender nicht bemerkt, dass er nun einen Anhang an die Mail gehängt hat.

Offenbar gibt es mit dem FP1 für Notes 11 einen neuen notes.ini-Parameter mit dem das Verhalten gesteuert werden kann:

MailToURL_Attach=0

deaktiviert den Attach-Parameter in mailto-URLs. Der Anhang wird in diesem Fall einfach nicht angehängt. Es erfolgt keine Warnung oder Fehlermeldung.

Bedauerlicherweise kann ich dazu außer bei Daniel nichts finden, so dass auch offen ist, ob das eventuell in den anderen Updates der Major-Versionen (9.0.1 & 10.0.1) implementiert wird.

(Update 05.10.2020)

Nun gibt es auch eine offizielle Aktualisierung des Security Bulletin. Nun gibt HCL insofern eine Lösung bekannt, dass sie das Problem mit den Versionen:

• 9.0.1 FP10 IF8
• 10.0.1 FP6
• 11.0.1 FP1

als gefixt ansehen. Weitere Details gibt es nicht, erscheint der zugehörige SPR doch in keiner Fixlist.

Damit gibt es weiterhin keine offizielle Aussage dazu, wie HCL eigentlich das Problem als gelöst ansieht. Jedenfalls kann man aber bei Installation des Fixes feststellen, dass die URL-Erweiterung "Attach" standardmäßig einfach ignoriert wird, so dass keine Anhänge eingebunden werden können. Das kann dann wohl über den o.g. notes.ini-Parameter im Zweifel wieder aktiviert werden.