Outlook-fejl sendte ukrypteret version sammen med krypterede mails

I mindst et halvt år har Outlook sendt ukrypterede kopier med, hver gang der er sendt en krypteret email.

En fejl i Outlooks S/MIME-funktionalitet betyder, at krypteringen på alle krypterede mails, der har brugt S/MIME, i mindst seks måneder ikke har fungeret helt efter hensigten.

S/MIME er en protokol til end-to-end-kryptering af emails, men det ser nu ud til, at det i mindst et halvt år har været muligt at sende mails, der på overfladen så krypterede ud, mens indholdet stadig var læseligt for udeforstående.

Fejlen blev opdaget tilfældigt af SEC Consult.

»I kontekst af kryptering kan dette betragtes som en worst-case bug,« skriver SEC Consult i et blog-indlæg.

»Det resulterer i totalt tab af sikkerhedsegenskaberne, som S/MIME-kryptering giver.«

Sendte både krypteret og ukrypteret

Fejlen i Outlook - der nu er fikset - betyder, at når man vil sende en krypteret mail, sender den i samme mail både indholdet krypteret og ikke-krypteret.

Det betyder, at selvom mailen ser ud til at være krypteret end-to-end, så kan man læse indholdet uden brug af modtagerens private nøgle.

Det er ikke muligt at opdage svagheden som bruger af Outlook - selv hvis man kigger sine sendte mails igennem, er der ingen tegn på fejl.

Det er værd at bemærke, at problemet opstår, når Outlook bruges til at sende en krypteret mail - og der er ingen problemer, når den blot er modtager.

Fundet ved et tilfælde

Til venstre ses, hvordan det gennem OWA er muligt at læse starten af en emails indhold, selvom den er krypteret. Til højre ses, hvordan samme email ser ud, når den bliver åbnet i OWA. Foto: SEC Consult

Fejlen blev fundet ved et tilfælde, da indholdet af krypterede mails kunne læses gennem netklienten Outlook Web Access (OWA), der ikke kan læse S/MIME-krypterede emails, men alligevel var i stand til at vise starten af mailen i klartekst (se billedet til højre for eksempel).

Det er ikke en fejl i OWA, da den bare tolker på den data, der bliver sendt med mailen. Den burde blot skrive teksten No preview is available, men viser altså i stedet op til 255 tegn i førvisningsfeltet.

Har man adgang til systemets message transfer agent, vil det være muligt at læse hele emailens indhold.

Fejlen har fået fejlkoden CVE-2017-11776, der blev offentliggjort tirsdag, og Microsoft har endnu ikke kommenteret på, hvor længe krypterede mails er blevet sendt med en læselig kopi.

Microsoft har i denne måned rettet fejlen i en sikkerheds-patch.

Mange populære mail-klienter som Microsoft Outlook, Mozilla Thunderbird, Apple Mail og mailklienter på både iOS og Samsung Know benytter S/MIME.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017