Outlook; το πρότυπο S/MIME δεν κρυπτογραφεί τα email σας

Οι χρήστες του ηλεκτρονικού ταχυδρομείου Outlook της Microsoft που χρησιμοποιούν το πρότυπο κρυπτογράφησης S/MIME δεν διασφαλίζουν το των email τους από ένα σφάλμα της εφαρμογής.

Το ζήτημα παρουσιάζεται γιατί το Outlook στέλνει τα μηνύματα ηλεκτρονικού ταχυδρομείου σε κρυπτογραφημένη αλλά και σε μη κρυπτογραφημένη μορφή. Έτσι ένας εισβολέας που είναι σε θέση να διαχωρίσει την κίνηση του email λογαριασμού μπορεί να διαβάσει το περιεχόμενο αυτών των .OutlookΤο bug δεν είναι ένα γενικό, αλλά εκδηλώνεται μόνο όταν πληρούνται οι παρακάτω συνθήκες:

  • Επιτρέπονται μόνο μηνύματα ηλεκτρονικού ταχυδρομείου κρυπτογραφημένα με το πρότυπο κρυπτογράφησης δημόσιου κλειδιού S/MIME, αλλά όχι το PGP/GPG.
  • Διαρροή κρυπτογραφημένων μηνυμάτων ηλεκτρονικού ταχυδρομείου εμφανίζεται μόνο για μηνύματα ηλεκτρονικού ταχυδρομείου που “αποστέλλονται” χρησιμοποιώντας το Outlook και δεν έχουν ληφθεί από το Outlook.
  • Η εμφανίζεται μόνο για τα μηνύματα ηλεκτρονικού ταχυδρομείου του Outlook που αποστέλλονται σε απλό κείμενο. Η προεπιλεγμένη ρύθμιση του Outlook είναι η χρήση της μορφοποίησης HTML.
  • Η διαρροή συμβαίνει επίσης όταν οι χρήστες προσπαθούν να κρυπτογραφήσουν τις απαντήσεις σε μηνύματα ηλεκτρονικού ταχυδρομείου. Το Οutlook αλλάζει αυτόματα την προεπιλεγμένη μορφοποίηση HTML σε απλό κείμενο όταν απαντάτε σε τέτοια μηνύματα.
  • Η διαρροή συμβαίνει συνεχώς, αν ο χρήστης το Οutlook με ένα διακομιστή SMTP.
  • Η διαρροή εμφανίζεται μόνο σε διακομιστές hop για υπολογιστές-clients του Οutlook που χρησιμοποιούν υποδομή του Microsoft Exchange. Αυτό περιορίζει τη διαρροή κρυπτογραφημένων μηνυμάτων ηλεκτρονικού ταχυδρομείου μέσα σε κάποιο εταιρικό δίκτυο.
  • Επίσης υπάρχει διαρροή στον ηλεκτρονικού ταχυδρομείου του παραλήπτη. Επειδή τα email clients εμφανίζουν προεπισκοπήσεις των μηνυμάτων, ένας εισβολέας μπορεί να δει το περιεχόμενο του κρυπτογραφημένου μηνύματος ακόμα κι αν δεν έχει πρόσβαση στο ιδιωτικό κλειδί κρυπτογράφησης που διαθέτει ο αποδέκτης.

Η διαρροή κρυπτογράφησης, αν και περιορίζεται από τα παραπάνω σενάρια, είναι ένα λεπτό θέμα. Οι εταιρείες αλλά και οι ιδιώτες χρησιμοποιούν την κρυπτογράφηση για τη διασφάλιση ευαίσθητων πληροφοριών που ανταλλάσσουν μέσω ηλεκτρονικού ταχυδρομείου.

Οι ερευνητές της SEC Consult ανακάλυψαν τη διαρροή των κρυπτογραφημένων ηλεκτρονικών μηνυμάτων του Outlook κατά λάθος.
Οι ερευνητές δήλωσαν ότι ήρθαν σε επαφή με τη Microsoft για το θέμα και η εταιρεία κυκλοφόρησε μια λύση για το σφάλμα – που έχει κωδικοποιηθεί με το αναγνωριστικό CVE-2017-11776, την Τρίτη 10 Οκτωβρίου του 2017.

Η Microsoft δεν αποκάλυψε ποιες εκδόσεις του Οutlook επηρεαζόταν από αυτό το θέμα.

Προς το παρόν, εταιρείες και ιδιώτες που πληρούν τα παραπάνω σενάρια, είναι ευπαθείς στο CVE-2017-11776 και θα πρέπει να ενημερώσουν άμεσα το Οutlook.

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).