Специалистите на компанията SEC Consult откриха в Outlook 2016 на Microsoft забележителна уязвимост, претендент за най-глупавия бъг на седмицата, а може би и на месеца. Експертите забелязаха, че към всяко криптирано S/MIME писмо, програмата прикачва самия текст на писмото в открит, некриптиран вид. Може би за по-удобен предварителен преглед на съдържанието.

Засега коментари от Microsoft няма, но софтуерният гигант потвърди наличието на уязвимост в Microsoft Outlook 2016, която бе класифицирана под номер CVE-2017-11776.

S/MIME (Secure/Multipurpose Internet Mail Extensions) е стандарт за криптиране и подписване на електронната кореспонденция с помощта на публичен ключ. Този стандарт прилича на PGP/GPG и се поддържа от всички популярни клиенти за електронна поща, включително Microsoft Outlook, Mozilla Thunderbird, Apple Mail и в популярните устройства с iOS и Samsung Knox.

S/MIME е по принцип несъвместим с уеб-пощата. Конфиденциалността и целостта на електронните писма са недостижими при традиционното използване на уеб-пощата, понеже секретният частен ключ не трябва да е достъпен за уеб-сървъра на уеб-пощата. А това означава, че той не може да покаже какъв е текстът в съобщенията.

Специалистите на SEC Consult забелязаха, че текстът и цялото съдържание на криптираните писма излиза в Outlook Web Access (OWA). Това е уеб-клиент за достъп до сървъра за съвместна работа Microsoft Exchange. Логично е при използването на S/MIME, уеб-клиентът да не може да показва текста на писмата, понеже не разполага със секретния личен ключ за декриптиране.

Оказа се, че при използването на S/MIME, пощенският клиент Outlook изпраща писмата в криптиран и некриптиран вид едновременно (в едно и също писмо). Тоест, всеки може да прочете текста, без да разполага с какъвто и да било тайни ключове на потребителя. Атаката се осъществява в изцяло пасивен режим. Или с други думи, всичките криптографски свойства на протокола S/MIME са напълно компрометирани. Експертите на SEC Consult дадоха на всичко това името „Фалшива криптография“.

Потребителят дори и не се досеща, че е възможно нещо подобно. Писмата се изобразяват като коректно криптирани. Излизат и иконките за коректно подписване и криптиране на електронното писмо.

На уязвимостта CVE-2017-11776 бе дадено средно, а не критично ниво на опасност, понеже бъгът се появява, само ако се криптира писмо с Plain Text. Този формат не се използва по подразбиране, но Outlook автоматично го активира, ако отговорите на писмо, форматирано с Plain Text.

Ако се изпрати писмо със стандартен HTML формат, бъгът не се проявява.

Уязвимостта CVE-2017-11776, заедно с още 60 други уязвимости, бе оправена с последното ежемесечно обновяване по безопасността, излязло на 10 октомври тази година.

Microsoft не съобщава в коя версия на Office се е проявявала грешката. Но в бюлетина по безопасност се вижда, че това е версия Microsoft Outlook 2016. Тази програма излезе на 22 септември 2015 като част от пакета Office 2016.

0 0 глас
Оценете статията
Абонирай се
Извести ме за
guest
10 Коментара
стари
нови оценка
Отзиви
Всички коментари