Los especialistas de SEC Consult encontraron una
vulnerabilidad notable en el programa Outlook de Microsoft, que de todos modos puede considerarse un error estúpido de la semana o el mes. Accidentalmente notaron que para cada letra S / MIME encriptada, el programa aplica el contenido de la letra en texto claro. Probablemente para una vista previa más conveniente.
Microsoft aún no lo ha
comentado , la compañía solo confirmó la presencia de vulnerabilidades en Microsoft Outlook 2016. A las vulnerabilidades se les asigna el número de clasificación
CVE-2017-11776 .
S / MIME (Extensiones de correo de Internet seguras / multipropósito): un estándar para el cifrado y la firma en el correo electrónico utilizando una clave pública. Este estándar es similar a PGP / GPG, es compatible con todos los clientes de correo electrónico populares, incluidos Microsoft Outlook, Mozilla Thunderbird, Apple Mail y clientes de correo electrónico en dispositivos iOS y Samsung Knox. Para usar S / MIME, debe configurar su cliente de correo, instalar un certificado personal e intercambiar certificados con sus corresponsales.
S / MIME es fundamentalmente incompatible con el correo web. La confidencialidad e integridad de los mensajes es inalcanzable en el uso tradicional del correo web, porque la clave secreta no debe ser accesible para el servidor de correo web. Por lo tanto, no puede mostrar el contenido del mensaje.
Por lo tanto, los investigadores de SEC Consult no buscaron inicialmente vulnerabilidades en el esquema de cifrado de Outlook. Pero se dieron cuenta de que la situación era poco saludable cuando descubrieron que el contenido de los correos electrónicos cifrados se mostraba en Outlook Web Access (OWA). Este es un cliente web para acceder al servidor de colaboración de Microsoft Exchange. De acuerdo con la práctica normal de usar S / MIME, el cliente web parece no poder mostrar el texto del mensaje, ya que no tiene una clave secreta para descifrar.
Resultó que cuando se usa el cifrado S / MIME, el cliente de correo electrónico de Outlook envía el mensaje en forma
cifrada y sin cifrar al mismo tiempo (en una letra). Es decir, cualquiera puede leer el contenido de la carta sin tener las claves secretas del destinatario. No tendrá que tomar ninguna medida activa para esto. El ataque es posible completamente en modo pasivo. En otras palabras, todas las propiedades criptográficas del protocolo S / MIME están completamente comprometidas. Los expertos de SEC Consult llaman a esto "criptografía falsa".
Al mismo tiempo, el remitente no muestra signos de un problema en la carpeta Elementos enviados. Los correos electrónicos se muestran como si estuvieran correctamente encriptados. Se muestran iconos sobre la firma y el cifrado correctos de la carta.
Vulnerabilidades CVE-2017-11776 no se asigna como crítico, sino como un nivel de peligro promedio, incluso porque un error solo aparece si un correo electrónico formateado como "Texto sin formato" está encriptado. De forma predeterminada, este formato no se usa, pero Outlook lo activa automáticamente si responde a un correo electrónico formateado como "Texto sin formato".
Si crea una nueva carta con formato HTML estándar, entonces no se pudo encontrar el error.
Hay otra limitación que reduce el riesgo de un error. Aparentemente, el servidor de Exchange elimina la parte abierta del mensaje cifrado y, en este caso, el cifrado de texto sin formato solo llegará al servidor de Exchange y luego irá en su forma normal. Pero si envía a través de un servidor SMTP, la parte abierta del mensaje se guardará a lo largo de toda la ruta, hasta el buzón del destinatario.
La vulnerabilidad se hizo evidente cuando el contenido del mensaje mostraba Outlook Web Access (OWA), aunque esto no debería ser posible. En teoría, OWA debería informar que un mensaje no puede ser visto previamente. Pero aquí se muestran silenciosamente los primeros 255 caracteres. Y si un atacante obtiene acceso al servidor de correo o intercepta el tráfico de otra manera, puede leer todo el mensaje supuestamente "encriptado".
La explotación de la vulnerabilidad es posible si un atacante puede interceptar el tráfico que no está protegido por TLS, o tiene acceso a algún servidor de correo a lo largo de la ruta del mensaje, o tiene acceso al buzón del remitente o destinatario.
La vulnerabilidad CVE-2017-11776, junto con otras 60 vulnerabilidades en los programas de Microsoft, se reparó en la última actualización de seguridad mensual, que se lanzó el 10 de octubre de 2017.
Microsoft aún no ha anunciado en qué versión de Microsoft Outlook apareció un error. El boletín de seguridad contiene la versión de Microsoft Outlook 2016. Este programa se lanzó el 22 de septiembre de 2015 como parte de Office 2016.