Уязвимость в Microsoft Outlook приводит к утечке данных

Содержимое электронных писем, отправленных с помощью Microsoft Outlook и зашифрованных по стандарту S/MIME, находится по угрозой утечки из-за уязвимости в почтовом клиенте. Исследователи безопасности из SEC Consult обнаружили уязвимость в октябре текущего года.

Проблема CVE-2017-11776 заключается в том, что Outlook отправляет электронное письмо как в зашифрованном, так и в незашифрованном виде. Злоумышленник с возможностью отслеживания трафика электронной почты может при желании прочитать содержимое письма.

Уязвимость проявляется только при определенных условиях. В частности, уязвимость затрагивает письма, зашифрованные с помощью S/MIME; уязвимость распространяется только на исходящие письма, но не входящие; уязвимость затрагивает письма отправленные в виде простого текста (параметр Outlook по умолчанию - использовать форматирование HTML), а также при попытках ответить на такое письмо; проблема затрагивает пользователей, использующих Outlook на SMTP-серверах; пользователей, использующих Microsoft Exchange при отключенном протоколе TLS.

Утечке также подвержен почтовый клиент получателя из-за функции предварительного просмотра сообщений. Злоумышленник может просматривать содержимое зашифрованного сообщения, даже если у него нет доступа к закрытому ключу жертвы. Например, хакер, получивший доступ к паролю жертвы, но не к его закрытому ключу, может прочитать некоторые из зашифрованных сообщений, полученных жертвой.

Утечка шифрования, даже если она ограничена описанными выше сценариями, является серьезной проблемой. Компании используют шифрование для защиты конфиденциальной информации, отправляемой по электронной почте. Большинство отчетов об ошибках и уязвимостях также обрабатываются в зашифрованном формате.

Исследователи проинформировали Microsoft о данной проблеме. Компания уже выпустила соответствующий патч.