Οι χρήστες του ηλεκτρονικού ταχυδρομείου Outlook της Microsoft που χρησιμοποιούν το πρότυπο κρυπτογράφησης S/MIME δεν διασφαλίζουν το περιεχόμενο των email τους από ένα σφάλμα της εφαρμογής.
Το ζήτημα παρουσιάζεται γιατί το Outlook στέλνει τα μηνύματα ηλεκτρονικού ταχυδρομείου σε κρυπτογραφημένη αλλά και σε μη κρυπτογραφημένη μορφή. Έτσι ένας εισβολέας που είναι σε θέση να διαχωρίσει την κίνηση του email λογαριασμού μπορεί να διαβάσει το περιεχόμενο αυτών των μηνυμάτων.Το bug δεν είναι ένα γενικό, αλλά εκδηλώνεται μόνο όταν πληρούνται οι παρακάτω συνθήκες:
- Επιτρέπονται μόνο μηνύματα ηλεκτρονικού ταχυδρομείου κρυπτογραφημένα με το πρότυπο κρυπτογράφησης δημόσιου κλειδιού S/MIME, αλλά όχι το PGP/GPG.
- Διαρροή κρυπτογραφημένων μηνυμάτων ηλεκτρονικού ταχυδρομείου εμφανίζεται μόνο για μηνύματα ηλεκτρονικού ταχυδρομείου που “αποστέλλονται” χρησιμοποιώντας το Outlook και δεν έχουν ληφθεί από το Outlook.
- Η διαρροή εμφανίζεται μόνο για τα μηνύματα ηλεκτρονικού ταχυδρομείου του Outlook που αποστέλλονται σε απλό κείμενο. Η προεπιλεγμένη ρύθμιση του Outlook είναι η χρήση της μορφοποίησης HTML.
- Η διαρροή συμβαίνει επίσης όταν οι χρήστες προσπαθούν να κρυπτογραφήσουν τις απαντήσεις σε μηνύματα ηλεκτρονικού ταχυδρομείου. Το Οutlook αλλάζει αυτόματα την προεπιλεγμένη μορφοποίηση HTML σε απλό κείμενο όταν απαντάτε σε τέτοια μηνύματα.
- Η διαρροή συμβαίνει συνεχώς, αν ο χρήστης χρησιμοποιεί το Οutlook με ένα διακομιστή SMTP.
- Η διαρροή εμφανίζεται μόνο σε διακομιστές hop για υπολογιστές-clients του Οutlook που χρησιμοποιούν υποδομή του Microsoft Exchange. Αυτό περιορίζει τη διαρροή κρυπτογραφημένων μηνυμάτων ηλεκτρονικού ταχυδρομείου μέσα σε κάποιο εταιρικό δίκτυο.
- Επίσης υπάρχει διαρροή στον client ηλεκτρονικού ταχυδρομείου του παραλήπτη. Επειδή τα email clients εμφανίζουν προεπισκοπήσεις των μηνυμάτων, ένας εισβολέας μπορεί να δει το περιεχόμενο του κρυπτογραφημένου μηνύματος ακόμα κι αν δεν έχει πρόσβαση στο ιδιωτικό κλειδί κρυπτογράφησης που διαθέτει ο αποδέκτης.
Η διαρροή κρυπτογράφησης, αν και περιορίζεται από τα παραπάνω σενάρια, είναι ένα λεπτό θέμα. Οι εταιρείες αλλά και οι ιδιώτες χρησιμοποιούν την κρυπτογράφηση για τη διασφάλιση ευαίσθητων πληροφοριών που ανταλλάσσουν μέσω ηλεκτρονικού ταχυδρομείου.
Οι ερευνητές της SEC Consult ανακάλυψαν τη διαρροή των κρυπτογραφημένων ηλεκτρονικών μηνυμάτων του Outlook κατά λάθος.
Οι ερευνητές δήλωσαν ότι ήρθαν σε επαφή με τη Microsoft για το θέμα και η εταιρεία κυκλοφόρησε μια λύση για το σφάλμα – που έχει κωδικοποιηθεί με το αναγνωριστικό CVE-2017-11776, την Τρίτη 10 Οκτωβρίου του 2017.
Η Microsoft δεν αποκάλυψε ποιες εκδόσεις του Οutlook επηρεαζόταν από αυτό το θέμα.
Προς το παρόν, εταιρείες και ιδιώτες που πληρούν τα παραπάνω σενάρια, είναι ευπαθείς στο CVE-2017-11776 και θα πρέπει να ενημερώσουν άμεσα το Οutlook.