image

Outlook 2016 stuurde versleutelde e-mail door lek onversleuteld

woensdag 11 oktober 2017, 12:46 door Redactie, 7 reacties

Een beveiligingslek in Microsoft Outlook 2016 heeft ervoor gezorgd dat met S/MIME versleutelde e-mails in bepaalde gevallen onversleuteld werden verstuurd. Het probleem zou tenminste al zes maanden in de software aanwezig zijn, zo stelt securitybedrijf SEC Consult, dat het probleem ontdekte.

S/MIME is een standaard voor end-to-end-encryptie en het signeren van e-mails. Het wordt onder andere door Microsoft Outlook, Mozilla Thunderbird en Apple Mail ondersteund. De kwetsbaarheid deed zich alleen voor bij het opstellen van e-mails in platte tekst die vervolgens via S/MIME werden versleuteld. Outlook stuurde in deze gevallen het bericht in zowel versleutelde als onversleutelde vorm (in één enkel bericht) naar de mailserver van de afzender en ontvanger.

Daardoor was het mogelijk om zonder de privésleutel van de ontvanger de inhoud van het bericht te lezen. Iets wat S/MIME juist moet voorkomen. De afzender had niets door, aangezien het bericht in zijn verzonden map als versleuteld werd weergegeven. Het probleem speelde verder alleen bij het gebruik van Outlook als afzender. In het geval van inkomende met S/MIME versleutelde berichten, waar Outlook de ontvanger was, deed het probleem zich niet voor. Versleutelde berichten met html-opmaak werden wel juist versleuteld verstuurd.

Volgens SEC Consult zou een aanvaller op verschillende manieren misbruik van de kwetsbaarheid kunnen maken, afhankelijk van of er met een Exchange-server of smtp-server werd gewerkt. In het geval van Exchange zou de aanval mogelijk zijn als de aanvaller toegang tot het netwerkverkeer heeft tussen Outlook en de Exchange-server en er geen versleutelde tls-verbinding wordt gebruikt of als een aanvaller toegang tot de Exchange-server van de afzender heeft. Bij het gebruik van een smtp-server is de aanval mogelijk als de aanvaller toegang tot het netwerkverkeer, mail transfer agent of de mailbox van de afzender of ontvanger heeft. Het beveiligingslek werd gisterenavond door Microsoft gepatcht.

Reacties (7)
11-10-2017, 13:03 door Anoniem
Tja, waarom een produkt goed testen voordat je het verkoopt. Zolang het maar geld oplevert, en de klant een ''veilig gevoel'' heeft, dan is het toch goed ? ;))
11-10-2017, 13:22 door Anoniem
Door Anoniem: Tja, waarom een produkt goed testen voordat je het verkoopt. Zolang het maar geld oplevert, en de klant een ''veilig gevoel'' heeft, dan is het toch goed ? ;))

Bij Microsoft laten ze de betalende klant alles testen.
11-10-2017, 14:05 door Anoniem
outlook is sowieso waardeloos als emailclient.

Als client voor exchange, nouja, en exchange als server voor outlook, ach, maar tezamen zijn ze "collaboration" client-en-server, geen email client en server. Ze doen dat emailen dan ook subtiel vooral perongelukexpres verkeerd. Dus als je primair gezellig met je collegaatjes helemaal op de digitaal je agenda wil delen en je toch al een windows"cpu" onder je burootje hebt hangen, tuurlijk. Maar als je vooral met de rest van de wereld wil communiceren dan heb je toch echt wat beters nodig.

Maargoed, eens kijken hoe redmond dit oplost. Wellicht door berichten automatisch naar Zweeds om te zetten?
11-10-2017, 14:48 door karma4
Probleem in de test cultuur. Je moet niet enkel naar gewenste functionaliteit kijken maar ook naar alle andere zaken.
In dit geval de tekst werd netjes geencrypt en terug gehaald. Dat was zoals het hoorde.

Kijk nog eens goed naar owasp top 10 en je ziet de herhalende factor van enkel.kijken naar gewenste functies.
11-10-2017, 18:03 door Anoniem
Als ik het juist heb begrepen, wordt de platte tekst zowel versleuteld als niet versleuteld verzonden, en blijft dit onderscheid dus voor de ontvanger onzichtbaar. Het is wel zo, dat de gratis Google webmail Gmail account geen S/Mime (SSL) functie heeft, en wanneer dus een een versleutelde email met de webmail functie wordt geopend, de inhoud van de mail niet gelezen kan worden.
11-10-2017, 19:42 door Anoniem
Door karma4: Probleem in de test cultuur. Je moet niet enkel naar gewenste functionaliteit kijken maar ook naar alle andere zaken.
In dit geval de tekst werd netjes geencrypt en terug gehaald. Dat was zoals het hoorde.

Kijk nog eens goed naar owasp top 10 en je ziet de herhalende factor van enkel.kijken naar gewenste functies.

test cultuur wordt bepaald door bedrijf en management zelf. kun je aanpassen want er zijn ook voorbeelden genoeg waar het wel kan en goed gaat. bij MS gaat het niet om de klant of om goede software uiteindelijk. pure the money. anders waren een aantal andere zaken bij dat bedrijf ook wel anders:

https://en.wikipedia.org/wiki/Halloween_documents
https://en.wikipedia.org/wiki/Embrace,_extend,_and_extinguish
13-10-2017, 12:55 door Anoniem
Door Anoniem:
Door Anoniem: Tja, waarom een produkt goed testen voordat je het verkoopt. Zolang het maar geld oplevert, en de klant een ''veilig gevoel'' heeft, dan is het toch goed ? ;))

Bij Microsoft laten ze de betalende klant alles testen.

correct:


https://tweakers.net/nieuws/130705/microsoft-bevestigt-dat-recente-windows-update-bsod-problemen-opleverden.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.