Бъг на седмицата: заедно с криптираното писмо, Outlook 2016 изпраща и оригиналния текст
Специалистите на компанията SEC Consult откриха в Outlook 2016 на Microsoft забележителна накърнимост, кандидат за най-глупавия бъг на седмицата, а може би и на месеца. Експертите видяха, че към всяко криптирано S/MIME писмо, програмата прикачва самия текст на писмото в открит, некриптиран тип. Може би за по-удобен прелиминарен обзор на наличието.
Засега мнения от Microsoft няма, само че софтуерният колос удостовери съществуването на накърнимост в Microsoft Outlook 2016, която бе класифицирана под номер CVE-2017-11776.
S/MIME (Secure/Multipurpose Internet Mail Extensions) е стандарт за криптиране и сключване на електронната преписка благодарение на обществен ключ. Този стандарт наподобява на PGP/GPG и се поддържа от всички известни клиенти за е-поща, в това число Microsoft Outlook, Mozilla Thunderbird, Apple Mail и в известните устройства с iOS и Samsung Knox.
S/MIME е по принцип несъответстващ с уеб-пощата. Конфиденциалността и целостта на електронните писма са недостижими при обичайното потребление на уеб-пощата, тъй като секретният частен ключ не би трябвало да е наличен за уеб-сървъра на уеб-пощата. А това значи, че той не може да покаже какъв е текстът в известията.
Специалистите на SEC Consult видяха, че текстът и цялото наличие на криптираните писма излиза в Outlook Web Access (OWA). Това е уеб-клиент за достъп до сървъра за взаимна работа Microsoft Exchange. Логично е при потреблението на S/MIME, уеб-клиентът да не може да демонстрира текста на писмата, тъй като не разполага със секретния персонален ключ за декриптиране.
Оказа се, че при потреблението на S/MIME, пощенският клиент Outlook изпраща писмата в криптиран и некриптиран тип по едно и също време (в едно и също писмо). Тоест, всеки може да прочете текста, без да разполага с какъвто и да било секрети ключове на потребителя. Атаката се реализира в напълно въздържан режим. Или с други думи, всичките криптографски свойства на протокола S/MIME са изцяло компрометирани. Експертите на SEC Consult дадоха на всичко това името “Фалшива криптография”.
Потребителят даже и не се досеща, че е допустимо нещо сходно. Писмата се изобразяват като правилно криптирани. Излизат и иконките за правилно сключване и криптиране на електронното писмо.
На уязвимостта CVE-2017-11776 бе обещано приблизително, а не сериозно равнище на заплаха, тъй като бъгът се появява, единствено в случай че се криптира писмо с Plain Text. Този формат не се употребява по дифолт, само че Outlook автоматизирано го задейства, в случай че отговорите на писмо, форматирано с Plain Text.
Ако се изпрати писмо със общоприет HTML формат, бъгът не се демонстрира.
Уязвимостта CVE-2017-11776, дружно с още 60 други уязвимости, бе оправена с последното ежемесечно възобновяване по сигурността, излязло на 10 октомври тази година.
Microsoft не оповестява в коя версия на Office се е проявявала грешката. Но в бюлетина по сигурност се вижда, че това е версия Microsoft Outlook 2016. Тази стратегия излезе на 22 септември 2015 като част от пакета Office 2016.
Засега мнения от Microsoft няма, само че софтуерният колос удостовери съществуването на накърнимост в Microsoft Outlook 2016, която бе класифицирана под номер CVE-2017-11776.
S/MIME (Secure/Multipurpose Internet Mail Extensions) е стандарт за криптиране и сключване на електронната преписка благодарение на обществен ключ. Този стандарт наподобява на PGP/GPG и се поддържа от всички известни клиенти за е-поща, в това число Microsoft Outlook, Mozilla Thunderbird, Apple Mail и в известните устройства с iOS и Samsung Knox.
S/MIME е по принцип несъответстващ с уеб-пощата. Конфиденциалността и целостта на електронните писма са недостижими при обичайното потребление на уеб-пощата, тъй като секретният частен ключ не би трябвало да е наличен за уеб-сървъра на уеб-пощата. А това значи, че той не може да покаже какъв е текстът в известията.
Специалистите на SEC Consult видяха, че текстът и цялото наличие на криптираните писма излиза в Outlook Web Access (OWA). Това е уеб-клиент за достъп до сървъра за взаимна работа Microsoft Exchange. Логично е при потреблението на S/MIME, уеб-клиентът да не може да демонстрира текста на писмата, тъй като не разполага със секретния персонален ключ за декриптиране.
Оказа се, че при потреблението на S/MIME, пощенският клиент Outlook изпраща писмата в криптиран и некриптиран тип по едно и също време (в едно и също писмо). Тоест, всеки може да прочете текста, без да разполага с какъвто и да било секрети ключове на потребителя. Атаката се реализира в напълно въздържан режим. Или с други думи, всичките криптографски свойства на протокола S/MIME са изцяло компрометирани. Експертите на SEC Consult дадоха на всичко това името “Фалшива криптография”.
Потребителят даже и не се досеща, че е допустимо нещо сходно. Писмата се изобразяват като правилно криптирани. Излизат и иконките за правилно сключване и криптиране на електронното писмо.
На уязвимостта CVE-2017-11776 бе обещано приблизително, а не сериозно равнище на заплаха, тъй като бъгът се появява, единствено в случай че се криптира писмо с Plain Text. Този формат не се употребява по дифолт, само че Outlook автоматизирано го задейства, в случай че отговорите на писмо, форматирано с Plain Text.
Ако се изпрати писмо със общоприет HTML формат, бъгът не се демонстрира.
Уязвимостта CVE-2017-11776, дружно с още 60 други уязвимости, бе оправена с последното ежемесечно възобновяване по сигурността, излязло на 10 октомври тази година.
Microsoft не оповестява в коя версия на Office се е проявявала грешката. Но в бюлетина по сигурност се вижда, че това е версия Microsoft Outlook 2016. Тази стратегия излезе на 22 септември 2015 като част от пакета Office 2016.
Източник: kaldata.com
КОМЕНТАРИ