Исследователи из SEC Consult обнаружили, что из-за программной ошибки некоторые почтовые клиенты Microsoft Outlook отправляют зашифрованные сообщения, присоединяя к ним копию открытым текстом. Таким образом, злоумышленники, ведущие перехват на защищенном канале, получили щедрый подарок: им не нужно было добывать закрытые ключи, чтобы читать чужие письма. Патч для данной уязвимости (CVE-2017-11776) вышел в составе октябрьского набора обновлений от Microsoft.

Согласно блог-записи SEC, в появлении бага была повинна неправильная реализация функциональности S/MIME (этот стандарт предусматривает сквозное шифрование и наличие цифровой подписи). Первое вызвавшее подозрения письмо было обнаружено 2 мая: его нешифрованное содержимое отображалось в области предварительного просмотра Outlook Web Access (OWA). При этом в папке Sent Items (“Отправленные”) признаки проблемы с шифрованием отсутствовали.

Анализ показал, что уязвимость затрагивает лишь исходящие сообщения S/MIME, которые в Outlook по умолчанию форматируются как Plain Text (HTML), если это ответ на письмо, присланное открытым текстом. Вложения в зашифрованные письма этот баг не затрагивает. Microsoft, которую уведомили о проблеме, подтвердила это наблюдение.

Примечательно, что при использовании Microsoft Exchange с отключенным TLS утечка происходит лишь на первом участке маршрута (до MTA-агента отправителя) либо на всем пути до ящика получателя, если он находится в одном домене с отправителем. При этом получатель, который забирает письма с сервера через IMAP, не сможет обнаружить проблему, так как ему доставляется лишь зашифрованная часть сообщения. В SEC полагают, что при отправке писем внешним реципиентам Exchange удаляет plaintext-копию.

Исследователи также отметили, что при тестировании в лабораторных условиях OWA показывал в превью первые 255 знаков текста письма, однако если у злоумышленника есть доступ к MTA, он увидит сообщение целиком.

В том случае, когда отправитель использует SMTP, открытый текст можно читать на всех промежуточных почтовиках и почтовом сервере получателя.

Согласно блог-записи SEC Consult, патчи для обнаруженной уязвимости были включены в версии 1705 и 1708 Outlook (сборки 8201.2200 и 8431.2107), выпущенные Microsoft в минувший вторник. Данных о том, как CVE-2017-11776 проявляется в Office 365, Outlook.com и т. п., у исследователей нет.

Категории: Аналитика, Уязвимости