Een beveiligingslek in Microsoft Outlook 2016 heeft ervoor gezorgd dat met S/MIME versleutelde e-mails in bepaalde gevallen onversleuteld werden verstuurd. Het probleem zou tenminste al zes maanden in de software aanwezig zijn, zo stelt securitybedrijf SEC Consult, dat het probleem ontdekte.
S/MIME is een standaard voor end-to-end-encryptie en het signeren van e-mails. Het wordt onder andere door Microsoft Outlook, Mozilla Thunderbird en Apple Mail ondersteund. De kwetsbaarheid deed zich alleen voor bij het opstellen van e-mails in platte tekst die vervolgens via S/MIME werden versleuteld. Outlook stuurde in deze gevallen het bericht in zowel versleutelde als onversleutelde vorm (in één enkel bericht) naar de mailserver van de afzender en ontvanger.
Daardoor was het mogelijk om zonder de privésleutel van de ontvanger de inhoud van het bericht te lezen. Iets wat S/MIME juist moet voorkomen. De afzender had niets door, aangezien het bericht in zijn verzonden map als versleuteld werd weergegeven. Het probleem speelde verder alleen bij het gebruik van Outlook als afzender. In het geval van inkomende met S/MIME versleutelde berichten, waar Outlook de ontvanger was, deed het probleem zich niet voor. Versleutelde berichten met html-opmaak werden wel juist versleuteld verstuurd.
Volgens SEC Consult zou een aanvaller op verschillende manieren misbruik van de kwetsbaarheid kunnen maken, afhankelijk van of er met een Exchange-server of smtp-server werd gewerkt. In het geval van Exchange zou de aanval mogelijk zijn als de aanvaller toegang tot het netwerkverkeer heeft tussen Outlook en de Exchange-server en er geen versleutelde tls-verbinding wordt gebruikt of als een aanvaller toegang tot de Exchange-server van de afzender heeft. Bij het gebruik van een smtp-server is de aanval mogelijk als de aanvaller toegang tot het netwerkverkeer, mail transfer agent of de mailbox van de afzender of ontvanger heeft. Het beveiligingslek werd gisterenavond door Microsoft gepatcht.
Deze posting is gelocked. Reageren is niet meer mogelijk.