Les spécialistes de SEC Consult ont trouvé une
vulnérabilité remarquable dans le programme Outlook de Microsoft, qui peut de toute façon être considérée comme un bogue stupide de la semaine ou du mois. Ils ont accidentellement remarqué que pour chaque lettre S / MIME cryptée, le programme applique le contenu de la lettre en texte clair. Probablement pour un aperçu plus pratique.
Microsoft n'a pas encore
commenté cela, la société a seulement confirmé la présence de vulnérabilités dans Microsoft Outlook 2016. Les vulnérabilités se voient attribuer le numéro de classification
CVE-2017-11776 .
S / MIME (Secure / Multipurpose Internet Mail Extensions) - une norme pour le cryptage et la signature dans les e-mails à l'aide d'une clé publique. Cette norme est similaire à PGP / GPG, elle est prise en charge par tous les clients de messagerie populaires, y compris Microsoft Outlook, Mozilla Thunderbird, Apple Mail et les clients de messagerie sur les appareils iOS et Samsung Knox. Pour utiliser S / MIME, vous devez configurer votre client de messagerie, installer un certificat personnel et échanger des certificats avec des partenaires de correspondance.
S / MIME est fondamentalement incompatible avec le webmail. La confidentialité et l'intégrité des messages sont inaccessibles dans l'utilisation traditionnelle du webmail, car la clé secrète ne doit pas être accessible au serveur de webmail. Par conséquent, il ne peut pas afficher le contenu du message.
Ainsi, les chercheurs de SEC Consult n'ont pas initialement recherché de vulnérabilités dans le schéma de chiffrement Outlook. Mais ils ont réalisé que la situation était très malsaine lorsqu'ils ont découvert que le contenu des e-mails chiffrés était affiché dans Outlook Web Access (OWA). Il s'agit d'un client Web permettant d'accéder au serveur de collaboration Microsoft Exchange. Selon la pratique normale d'utilisation de S / MIME, le client Web semble ne pas pouvoir afficher le texte du message, car il n'a pas de clé secrète pour le déchiffrement.
Il s'est avéré que lors de l'utilisation du chiffrement S / MIME, le client de messagerie Outlook envoie le message sous forme
chiffrée et non chiffrée en même temps (en une lettre). Autrement dit, n'importe qui peut lire le contenu de la lettre sans avoir les clés secrètes du destinataire. Il n'aura pas à prendre de mesures actives pour cela. L'attaque est possible complètement en mode passif. En d'autres termes, toutes les propriétés cryptographiques du protocole S / MIME sont complètement compromises. Les experts de SEC Consult appellent cela de la «fausse cryptographie».
Dans le même temps, l'expéditeur n'a aucun signe de problème dans le dossier Éléments envoyés. Les e-mails s'affichent comme s'ils étaient correctement cryptés. Des icônes sur la signature et le cryptage corrects de la lettre s'affichent.
Les vulnérabilités CVE-2017-11776 se voient attribuer non pas un niveau critique, mais un niveau de danger moyen, notamment parce qu'un bogue n'apparaît que si un e-mail au format "Texte brut" est crypté. Par défaut, ce format n'est pas utilisé, mais Outlook l'active automatiquement si vous répondez à un e-mail au format "Texte brut".
Si vous créez une nouvelle lettre avec une mise en forme HTML standard, le bogue est introuvable.
Il existe une autre limitation qui réduit le risque de bogue. Apparemment, le serveur Exchange supprime la partie ouverte du message crypté, et dans ce cas, le cryptage en texte brut n'atteindra que le serveur Exchange, puis il reprendra sous sa forme normale. Mais si vous envoyez via un serveur SMTP, la partie ouverte du message sera enregistrée tout au long de l'itinéraire, jusqu'à la boîte aux lettres du destinataire.
La vulnérabilité est devenue claire lorsque le contenu du message a affiché Outlook Web Access (OWA), bien que cela ne devrait pas être possible. En théorie, OWA doit signaler qu'un message ne peut pas être prévisualisé. Mais ici, les 255 premiers caractères sont affichés tranquillement. Et si un attaquant accède au serveur de messagerie ou intercepte le trafic d'une autre manière, il peut lire l'intégralité du message prétendument «crypté».
L'exploitation de la vulnérabilité est possible si l'attaquant est capable d'intercepter du trafic qui n'est pas protégé par TLS, ou a accès à un serveur de messagerie le long du chemin du message, ou a accès à la boîte aux lettres de l'expéditeur ou du destinataire.
La vulnérabilité CVE-2017-11776, ainsi que 60 autres vulnérabilités dans les programmes Microsoft, ont été corrigées dans la dernière mise à jour de sécurité mensuelle, publiée le 10 octobre 2017.
Microsoft n'a pas encore annoncé dans quelle version de Microsoft Outlook un bogue est apparu. Le bulletin de sécurité contient la version de Microsoft Outlook 2016. Ce programme a été publié le 22 septembre 2015 dans le cadre d'Office 2016.