En alvorlig feil ved Outlooks S/MIME-funksjonalitet førte til at ukryptert tekst ble sendt sammen med krypterte eposter.
En alvorlig feil ved Outlooks S/MIME-funksjonalitet førte til at ukryptert tekst ble sendt sammen med krypterte eposter. (Bilde: SEC Consult)

S/MIME

Outlook sendte ukryptert kopi sammen med krypterte eposter

– Dette er en «worst case-bug».

En feil i Outlooks S/MIME-funksjonalitet har ført til at krypteringen på alle krypterte eposter som har brukt S/MIME i minst seks måneder ikke har fungert etter hensikten.

S/MIME er en protokoll for ende-til-ende-kryptering av epost, men det ser nå ut til at det i minst et halvt år har vært mulig å sende eposter som på overflaten ser ut til å være krypterte, mens innholdet likevel var leselig for utenforstående.

Feilen ble oppdaget tilfeldig av sikkerhetsselskapet SEC Consult.

«I kontekst av kryptering kan dette betraktes som en worst-case-bug,» skriver SEC Consult i et blogginnlegg.

«Det resulterte i totalt tap av sikkerhetsegenskapene som S/MIME-kryptering gir.»

Sendte både kryptert og ukryptert

Feilen i Outlook – som nå er fikset – betyr at når man vil sende en kryptert epost, sender den i samme epost innholdet både kryptert og ikke-kryptert.

Det betyr at selv om eposten ser ut til å være kryptert ende-til-ende, så kan man lese innholdet uten bruk av mottakerens private nøkkel.

Det er ikke mulig å oppdage svakheten som bruker av Outlook, og selv om man ser igjennom sine sendte eposter, ser man ingen tegn på feil.

Det er verdt å gjøre oppmerksom på at problemet oppstår når Outlook brukes til å sende en kryptert epost, og det er ingen problemer når den kun er mottaker.

Funnet ved en tilfeldighet

Feilen ble funnet ved en tilfeldighet, da innholdet av krypterte eposter kunne leses gjennom nettklienten Outlook Web Access (OWA). Denne klienten kan ikke lese S/MIME-krypterte eposter, men var likevel i stand til å vise starten av eposten i klartekst (se bildet til høyre for et eksempel).

Til venstre ses hvordan det gjennom OWA er mulig å lese starten av innholdet i en epost. Til høyre ses hvordan den samme eposten ser ut når den blir åpnet i OWA.
Til venstre ses hvordan det gjennom OWA er mulig å lese starten av innholdet i en epost. Til høyre ses hvordan den samme eposten ser ut når den blir åpnet i OWA. Foto: SEC Consult

Det er ikke en feil i OWA, den bare tolker de data som blir sendt med i eposten. Den burde kun skrive No preview is available, men viser altså i stedet opp til 255 tegn i forhåndsvisningsfeltet. 

Har man adgang til systemets message transfer agent, vil det være mulig å lese hele epostens innhold. 

Feilen har fått feilkoden CVE-2017-11776, og ble offentliggjort tirsdag. Microsoft har ennå ikke gitt noen kommentar til hvor lenge krypterte eposter har blitt sendt sammen med en leselig kopi.

Microsoft har denne måneden rettet feilen gjennom en sikkerhetspatch.

Mange populære epostklienter, som Microsoft Outlook, Mozilla Thunderbird, Apple Mail og epostklienter på både iOS og Samsung Knox benytter S/MIME.

Les også: Derfor bør du bytte fra Facebook Messenger til dens lettere lillebror (version2.dk)

Artikkelen ble først publisert på Version2.dk

Kommentarer (8)

Kommentarer (8)
Til toppen