Geschreven door: Stefanie Weber

Veiligheid begint bij bewustzijn. Daarom neemt Networking4all één keer per maand een nieuwe vulnerability onder de loep en geven we advies over het voorkomen of genezen ervan.

Het versturen en ontvangen van e-mail is gemakkelijk te beveiligen. Een simpel certificaat is vaak al binnen enkele minuten aangevraagd, ontvangen, en geïnstalleerd. Normaal gesproken is het daar ook mee gedaan: uw e-mail kan vanaf dat moment versleuteld verstuurd worden wanneer u uw beveiligingssleutels uitwisselt met de ontvanger. Maar wat nou als uw mail client niet zo zorgvuldig omgaat met versleutelde berichten als u zou denken?

Wat is het: fake crypto (CVE-2017-11776)
Versleutelde e-mail berichten worden vanaf de mail client versleuteld met S/MIME, een end-to-end encryptie protocol dat wordt ondersteund door alle grote mail clients. Om gebruik te kunnen maken van S/MIME is een signing certificaat nodig. Hierdoor wordt het mogelijk om de inhoud van e-mails te versleutelen of te ondertekenen, wanneer de verzender en de ontvanger beveiligingssleutels uitwisselen. Normaal gesproken is dit protocol zeer veilig. Een indringer die zich een weg naar binnen heeft gewerkt zou weliswaar de mailbox met afzenders en onderwerpen kunnen zien, maar de inhoud van de mail kan niet gelezen worden als hij niet bij het bijbehorende certificaat kan.

Het bedrijf SEC Consult maakte op hun blog bekend dat ze bij toeval waren gestuit op een potentieel probleem in Microsoft Outlook dat tot uiting kwam in Outlook Web Access, de online applicatie van Microsoft Exchange. Het bleek dat Outlook per ongeluk e-mail die versleuteld werd met S/MIME in zowel versleutelde als onversleutelde vorm verstuurde naar de mail server, eventuele intermediate servers, en de ontvanger. Wanneer de verzender kijkt naar zijn outbox, lijkt de e-mail gewoon versleuteld te zijn verstuurd. Een aanvaller die toegang heeft tot de OWA van de ontvanger kan echter, zonder te beschikken over de beveiligingssleutel, simpelweg de mail lezen door te kijken naar de preview in de inbox. Dit zou niet mogelijk moeten zijn: OWA zou geen preview moeten kunnen weergeven van een versleuteld bericht. Maar in dit geval ziet OWA zowel een versleuteld als een onversleuteld bericht en gebruikt het onversleutelde deel voor de preview. Wanneer de aanvaller de e-mail wil openen, wordt het bericht namelijk niet weergegeven:

(bron)

Nuance
Gelukkig is het probleem niet zo wijdverspreid als dit doet denken. SEC Consult geeft zelf in het blogbericht aan dat het probleem zich alleen voordoet onder een aantal speciale omstandigheden. Zo komt het alleen voor wanneer de e-mail in plain text format wordt verstuurd; standaard worden e-mails vanuit Outlook in HTML verstuurd. Daarnaast heeft Outlook alleen last van deze kwetsbaarheid wanneer de mail wordt verstuurd met S/MIME encryptie. E-mail die wordt verstuurd via Microsoft Exchange wordt alleen inclusief onversleutelde versie bezorgd in de inbox van de ontvanger wanneer de ontvanger op hetzelfde domein als de verzender zit. Wanneer de e-mail via Microsoft Exchange naar een externe inbox verstuurd wordt, vervalt de onversleutelde versie.

Wat kunt u doen?
Microsoft is op de hoogte van het probleem en heeft een update uitgebracht voor Outlook die de kwetsbaarheid neutraliseert. U hoeft dus alleen uw Outlook bij te werken naar de laatste versie (deze kunt u via uw client downloaden, of hier vinden) Het is echter wel mogelijk dat u onbewust onversleutelde e-mails heeft verstuurd die dankzij deze bug gewoon uit te lezen waren door derden. Helaas is deze legacy van het probleem een lastige om op te lossen, omdat u geen invloed kunt uitoefenen op de inbox van iemand anders. SEC Consult geeft zelf in het blogbericht aan dat ze nog geen reactie hebben gekregen van Microsoft waarin ze duidelijk maken hoe ze met de legacy van deze kwetsbaarheid om zullen gaan.

De bug in Outlook heeft gelukkig niets te maken met de veiligheid of betrouwbaarheid van e-mail certificaten, en de update die Microsoft heeft uitgebracht lost de kwetsbaarheid gelukkig op. Het is daarom nog steeds aan te raden om gebruik te maken van een signing certificaat wanneer u uw e-mail veilig en versleuteld wilt versturen. Kijk voor meer informatie op onze website, lees ons dossier E-Mail Beveiliging eens door, of neem contact op met onze sales-afdeling via sales@networking4all.com.


Deel artikel via: