r   e   k   l   a   m   a
r   e   k   l   a   m   a

Luka w Outlooku: protokół S/MIME z tylko pozornym szyfrowaniem

Strona główna AktualnościBEZPIECZEŃSTWO

Kilka dni temu wyszedł na jaw błąd w Outlooku związany z funkcjonowaniem szyfrowania w protokole S/MIME. Obok poprawnie zaszyfrowanych wiadomości, wysyłane są również w żaden sposób niezabezpieczone kopie tego samego maila. W efekcie na serwery trafia więc wiadomość, którą pomimo teoretycznego zabezpieczenia można swobodnie odczytać nie dysponując prywatnym kluczem odbiorcy.

O spostrzeżeniach związanych ze wspomnianym błędem poinformował na łamach bloga serwis SEC Consult, który przyznaje, że odkrycie było całkowicie przypadkowe. Okazuje się, że zagrożone są jednak tylko wiadomości formatowane jako czysty tekst i przede wszystkim te, które wysyłane są przez SMTP. Wówczas niezaszyfrowana wiadomość podróżuje przez całą ścieżkę przesyłu wiadomości, natomiast w przypadku Exchange niezaszyfrowany fragment jest tak czy inaczej usuwany po pierwszym skoku.

Istotnym problemem jest fakt, iż użytkownicy mogą pozostawać nieświadomi, że wiadomość nie została wysłana w bezpieczny sposób. Wysyłanie z szyfrowaniem przebiega jak należy, jednak problem pojawia się po stronie odbiorcy – w podglądzie wiadomości w Outlook Web Access widoczny jest jej fragment, co nie powinno mieć w tym przypadku miejsca.

r   e   k   l   a   m   a

W dodatku jeśli odbiorca nie wykorzystuje OWA, tylko pobiera wiadomości dalej, dołączony fragment niezaszyfrowanej wiadomości nie zostanie wykryty również przez niego. Z kolei osoba, która przeprowadzałaby wówczas atak nie miałaby problemu z dostępem do całej wiadomości. Na serwerach Microsoftu pojawiła się już łatka, która opisaną podatność ma eliminować, jednak zaskakująca dla wielu jest jej klasyfikacja, w której czytamy, że naprawia błąd, którego wykorzystanie jest mało prawdopodobne:

Zanim lukę załatano, mogła się przyczynić do udostępnienia na szeroką skalę treści maili nawet z ostatnich kilku miesięcy. Dobrym podsumowaniem sytuacji mogą być słowa wprost z bloga SEC Consult: Jeśli korzystałeś szyfrowania S/MIME w Outlooku przez ostatnie 6 miesięcy (przynajmniej, bo wciąż czekamy aż Microsoft opublikuje szczegółowe informacje na blogu), twoje wiadomości mogły nie być szyfrowane tak, jak byś tego oczekiwał. W kontekście szyfrowania należy to uznać za najgorszy możliwy błąd.

© dobreprogramy

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.