Lek in Apple Mail maakte diefstal van e-mails en accounts mogelijk
Een kwetsbaarheid in Apple Mail voor macOS maakte het mogelijk voor een aanvaller om e-mails en accounts van gebruikers te stelen zonder enige interactie van het slachtoffer. Alleen het versturen van een malafide e-mail was voldoende. Apple kwam vorig jaar juli met een beveiligingsupdate, maar de details zijn nu pas bekendgemaakt.
Apple Mail beschikt over een feature waarbij het e-mailbijlagen tussen Mail-gebruikers automatisch inpakt en uitpakt. Apple Mail comprimeert de bijlage van de afzender met zip en voegt een optie aan de MIME-headers toe. Wanneer een andere Mail-gebruiker de e-mail ontvangt zal de gecomprimeerde bijlage automatisch worden uitgepakt.
Beveiligingsonderzoeker Mikko Kenttälä ontdekte dat de uitgepakte data niet uit de tijdelijke directory wordt verwijderd en dat het niet om een unieke directory gaat. Een aanvaller kan hiervan gebruikmaken om door middel van symlinks in de meegestuurde zip-bestanden ongeautoriseerde schrijftoegang tot ~/Library/Mail en de $TMPDIR te krijgen en zo de configuratie van Apple Mail aan te passen, waardoor het doorsturen van e-mail mogelijk wordt.
Voor het uitvoeren van de aanval verstuurt een aanvaller een e-mail met twee zip-bestanden naar het slachtoffer. Het eerste zip-bestand bevat een symlink genaamd Mail die naar "$HOME/Library/Mail" wijst en een tekstbestand. Mail pakt het zip-bestand uit en laat de symlink achter. Het tweede zip-bestand bevat de configuratie-aanpassing voor Apple Mail. Door de aanwezige symlink wordt de inhoud van dit zip-bestand uitgepakt in Library/Mail.
Zo is het mogelijk om de configuratie van Apple Mail aan te passen en inkomende e-mail automatisch door te sturen naar een e-mailadres van de aanvaller. Die kan zo niet alleen vertrouwelijke e-mail in handen krijgen, maar ook wachtwoordresets uitvoeren. De resetmail wordt namelijk ook doorgestuurd, wat de overname van allerlei accounts mogelijk maakt.
Volgens Kenttälä zou remote code execution misschien ook mogelijk zijn, maar heeft hij dit niet verder onderzocht. Tevens zou de kwetsbaarheid voor een wormachtige aanval zijn te gebruiken, aangezien de malafide zip-bestanden via de signature van het slachtoffer aan elke verstuurde e-mail kunnen worden toegevoegd.
De onderzoeker waarschuwde Apple op 24 mei vorig jaar, dat vervolgens op 15 juli met een beveiligingsupdate kwam. Het bestaan van de kwetsbaarheid maakte Apple zelf pas op 12 november bekend. Het komt vaker voor dat Apple pas na het uitbrengen van een beveiligingsupdate laat weten welke kwetsbaarheden er zijn verholpen. Kenttälä heeft nu de technische details openbaar gemaakt. Welk bedrag hij voor zijn bugmelding krijgt is nog onbekend.
(dan moet het OS natuurlijk niet zo orthogonaal zijn dat er filesystem paden zijn waarmee je de registry kunt overschrijven)
Microsoft programma's zetten configuratie in de registry en zijn hier niet gevoelig voor, maar we hebben andere aanbieders
zoals Mozilla ook al zien worstelen met dit soort van problemen, en rare sprongen zien maken zoals een random padnaam
voor hun configuratie bestanden...
(dan moet het OS natuurlijk niet zo orthogonaal zijn dat er filesystem paden zijn waarmee je de registry kunt overschrijven)
Microsoft programma's zetten configuratie in de registry en zijn hier niet gevoelig voor, maar we hebben andere aanbieders
zoals Mozilla ook al zien worstelen met dit soort van problemen, en rare sprongen zien maken zoals een random padnaam
voor hun configuratie bestanden...
De reageerder is niet bekend met DLL-hell?
(dan moet het OS natuurlijk niet zo orthogonaal zijn dat er filesystem paden zijn waarmee je de registry kunt overschrijven)
Microsoft programma's zetten configuratie in de registry en zijn hier niet gevoelig voor, maar we hebben andere aanbieders
zoals Mozilla ook al zien worstelen met dit soort van problemen, en rare sprongen zien maken zoals een random padnaam
voor hun configuratie bestanden...
whahahahahha en die registry is nog nooit corrupt geraakt op een windows systeem he :).... en what about als die gehele registry via die ene eenvoudige exploit uit te lezen is? een grapje zoals die OWA exchange laatst waarbij je ANYWHERE op een server een file kunt schrijven (en dus ook kunt lezen via een eenvoudige script deploy)?
ik denk dat de ONZIN van '15:56 door Anoniem' de reden is van de reacties DAAROP. lange tenen?
ik denk dat de ONZIN van '15:56 door Anoniem' de reden is van de reacties DAAROP. lange tenen?
Precies, de Windows Registry was een oplossing voor een versplinterd landschap aan configuraties, en tegelijkertijd het proberen backward compatible houden van drivers en andere ondersteuning. Microsoft developers team heeft zelf toegegeven dat de Windows Registry een oplossing met veel problemen bleek te zijn.
De reactie van '15:56 door Anoniem' kon ik - en blijkbaar anderen ook - daarom geheel niet plaatsen.
We hebben de ini bestandjes config settings hel. Het Windows-register heeft veel opgelost en in centraal beheerde aanpak gezet. De problematiek verleggend naar vereiste gedegen beheer. De terugkerende vlucht naar vrijheid voor de gebruiker met een eigen invloed of zero impact (portable) maakt dat gebruikers nog steeds van alles zelf gaan zitten installeren waardoor hackers en malware vrij spel krijgen.
We hebben de VM en Cloud vlucht, gedegen beheer kost veel inspanning (kosten/geld) in het geloof dat andere technische oplossingen niet de problemen en geen nadelen zouden hebben wordt er telkens weer gevlucht in een herbouw.
Niet geheel verrassend blijven de problemen en vraagstukken opspelen.
Data classificatie risico overwegingen, kiezen zou beter gaan met kennis vooraf dan telkens in de valkuilen te stappen.
(dan moet het OS natuurlijk niet zo orthogonaal zijn dat er filesystem paden zijn waarmee je de registry kunt overschrijven)
Microsoft programma's zetten configuratie in de registry en zijn hier niet gevoelig voor, maar we hebben andere aanbieders
zoals Mozilla ook al zien worstelen met dit soort van problemen, en rare sprongen zien maken zoals een random padnaam
voor hun configuratie bestanden...
whahahahahha en die registry is nog nooit corrupt geraakt op een windows systeem he :)
Nee, dat heb ik inderdaad in al die jaren dat ik Windows systemen beheerd heb nog nooit meegemaakt zonder dat er een ongerelateerde oorzaak was, zoals een defecte harddisk.
Maar wellicht helpt het dat ik nog nooit een "cleaner" gebruikt heb, en het niet mijn hobby is om allerlei broddel software te installeren en dan weer te de-installeren door gewoon de directory weg te mikken?
Het is de laatste tijd niet beter geworden, de vroeger simpele waardes in de registry zijn tegenwoordig vaak vervallen tot een onontwarbare kluwen van verwijzingen naar weer andere sleutels, waar veel gemakkelijker een boel mee mis kan gaan, maar vreemd genoeg is die in de vorige eeuw gewortelde aversie tegen de registry bij sommige mensen (zie dit topic) nooit gewijzigd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
