Microsoft Outlook 2016 S/MIME-salauksessa vakava puute (CVE-2017-11776)

Teemu Takanen

October 13, 2017 at 02:30

Varmenteisiin perustuvaa S/MIME-teknologiaa käytetään sähköpostin salauksessa. Teknologia on tuettuna kaikissa yleisimmissä sähköpostiohjelmissa, joten sen käyttö on yleensä melko vaivatonta.

Microsoft julkisti 10.10.2017 korjauksen Outlook 2016 sähköpostiohjelman S/MIME-salaukseen. Outlook 2016 on tietyissä tilanteissa liittänyt S/MIME-salattuihin viesteihin mukaan myös salaamattoman version sähköpostin tekstiosasta. Ongelman löysi "SEC Consult", ja he ovat julkaisseet yksityiskohtaisen kuvauksen viasta ja sen eri ilmenemismuodoista [1].

Outlook 2016 on jättänyt sähköposteihin mukaan salaamattoman version postista, mikäli viestin esitysmuotona on ollut paljas teksti. HTML-muotoillut postit on salattu normaalisti. Vastattaessa viestiin Outlook käyttää edellisen viestin muotoiluasetusta. Tästä johtuen ongelma koskettaa tyypillisimmin viestiketjuja, jotka ovat alkaneet jonkin järjestelmän lähettämästä automaattiviestistä.

Tarvitaanko toimenpiteitä?

Alla olevassa kuvassa on esitetty eri vaihtoehdot tarvittavista toimista.

cve_suositukset

Vaikka organisaatio itse ei käyttäisi S/MIME-teknologiaa tai Outlook
2016 -sähköpostiohjelmaa, jokin yhteistyökumppani on voinut luottaa näihin menetelmiin organisaation tietojen suojauksessa. Asia kannattaa tarkistaa kaikilta tärkeimmiltä yhteistyökumppaneilta.

Microsoft ei ole julkaissut tarkkaa listaa Outlookin versiosta, joita ongelma koskettaa. SEC Consultin raportin mukaan ongelma on ilmennyt ensimmäisen kerran toukokuun alussa 2017.

Helpoin tapa tunnistaa salaamatta jääneet sähköpostit on käyttää Outlook Web Access (OWA) työkalua, joka on Office 365 -käyttäjille saatavilla portal.office.com:sta. Mikäli OWA näyttää sähköpostilistassa yksittäisen postin kohdalla tekstin "No message text", viesti ei sisällä salaamatonta tekstiä. Mikäli tässä kohdassa näkyy sähköpostin ensimmäisen rivin tekstiä, viestissä on mukana myös salaamaton versio. Alkuperäisessä haavoittuvuusraportissa[1] on lisätietoa salaamattomien postien tunnistamisesta muilla menetelmillä.

Miten toimia jos sähköposteja on jäänyt salaamatta?

Salaamatta jättäminen ei automaattisesti tarkoita, että sähköpostin sisältö on päätynyt vääriin käsiin. Salattua viestintää käytetään kuitenkin yleensä hyvästä syystä.

Mikäli salaamatta jääneitä viestejä löytyy:

  • Käynnistä organisaatiosi normaali tietoturvapoikkeaman käsittely
  • Arvioi tapauskohtaisesti onko salaamatta jääneiden viestien paljastumisesta erityistä haittaa
  • Poista salaamatta jääneet viestit sähköpostijärjestelmistä. Huomioi kuitenkin, että viestin sisältö on voinut jo paljastua

Microsoftin päivitykset Outlook 2016 -ohjelmistoon

Microsoft on korjannut vian alla olevissa versioissa [2]:


Päivityskanava   Versio Build   Julkaistu

Deferred
Channel   1705   8201.2200    10.10.2017

Monthly
Channel   1708   8431.2107    10.10.2017


Päivityksen asennus ei vaikuta jo lähetettyihin sähköposteihin. Päivitys kuitenkin estää uusien salaamattomien viestien muodostumisen.
 


Lisätietoa

[1]
https://www.sec-consult.com/en/blog/2017/10/fake-crypto-microsoft-outloo...

[2]
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2...

Related blogs