Luka w Outlooku: protokół S/MIME z tylko pozornym szyfrowaniem

Strona głównaLuka w Outlooku: protokół S/MIME z tylko pozornym szyfrowaniem
13.10.2017 12:30
Luka w Outlooku: protokół S/MIME z tylko pozornym szyfrowaniem

Kilka dni temu wyszedł na jaw błąd w Outlooku związany z funkcjonowaniem szyfrowania w protokole S/MIME. Obok poprawnie zaszyfrowanych wiadomości, wysyłane są również w żaden sposób niezabezpieczone kopie tego samego maila. W efekcie na serwery trafia więc wiadomość, którą pomimo teoretycznego zabezpieczenia można swobodnie odczytać nie dysponując prywatnym kluczem odbiorcy.

O spostrzeżeniach związanych ze wspomnianym błędem poinformował na łamach bloga serwis SEC Consult, który przyznaje, że odkrycie było całkowicie przypadkowe. Okazuje się, że zagrożone są jednak tylko wiadomości formatowane jako czysty tekst i przede wszystkim te, które wysyłane są przez SMTP. Wówczas niezaszyfrowana wiadomość podróżuje przez całą ścieżkę przesyłu wiadomości, natomiast w przypadku Exchange niezaszyfrowany fragment jest tak czy inaczej usuwany po pierwszym skoku.

Istotnym problemem jest fakt, iż użytkownicy mogą pozostawać nieświadomi, że wiadomość nie została wysłana w bezpieczny sposób. Wysyłanie z szyfrowaniem przebiega jak należy, jednak problem pojawia się po stronie odbiorcy – w podglądzie wiadomości w Outlook Web Access widoczny jest jej fragment, co nie powinno mieć w tym przypadku miejsca.

Outlook Web Access: podgląd szyfrowanej wiadomości, który nie powinien być dostępny, źródło: SEC Consult
Outlook Web Access: podgląd szyfrowanej wiadomości, który nie powinien być dostępny, źródło: SEC Consult

W dodatku jeśli odbiorca nie wykorzystuje OWA, tylko pobiera wiadomości dalej, dołączony fragment niezaszyfrowanej wiadomości nie zostanie wykryty również przez niego. Z kolei osoba, która przeprowadzałaby wówczas atak nie miałaby problemu z dostępem do całej wiadomości. Na serwerach Microsoftu pojawiła się już łatka, która opisaną podatność ma eliminować, jednak zaskakująca dla wielu jest jej klasyfikacja, w której czytamy, że naprawia błąd, którego wykorzystanie jest mało prawdopodobne:

Outlook S/MIME bug is absolutely reproducible, I just did it. Does not need an attacker. Microsoft have classified it wrong. @msftsecurity

— Beaumont Porg, Esq. (@GossiTheDog) 10 października 2017 Zanim lukę załatano, mogła się przyczynić do udostępnienia na szeroką skalę treści maili nawet z ostatnich kilku miesięcy. Dobrym podsumowaniem sytuacji mogą być słowa wprost z bloga SEC Consult: Jeśli korzystałeś szyfrowania S/MIME w Outlooku przez ostatnie 6 miesięcy (przynajmniej, bo wciąż czekamy aż Microsoft opublikuje szczegółowe informacje na blogu), twoje wiadomości mogły nie być szyfrowane tak, jak byś tego oczekiwał. W kontekście szyfrowania należy to uznać za najgorszy możliwy błąd.

Programy

Aktualizacje
Aktualizacje
Nowości
Udostępnij:
Wybrane dla Ciebie
Komentarze (7)