Los defectos de Efail de una década de edad pueden filtrar el texto sin formato de Correos electrónicos cifrados con PGP y S-MIME

Los defectos de Efail de una década de antigüedad pueden filtrar texto sin formato de correos electrónicos cifrados con PGP y S / MIMEAmpliarSebastian Schinzel

Los errores no corregidos en los programas de correo electrónico ampliamente utilizados hacen posible atacantes para obtener el texto sin formato de mensajes cifrados Utilizando los estándares PGP y S / MIME, los investigadores dijeron el lunes temprano Mañana. Los ataques suponen que un atacante tiene posesión del correos electrónicos cifrados y pueden engañar al remitente original o uno de los destinatarios para abrir un fragmento invisible de los interceptados mensaje en un nuevo correo electrónico.

Otras lecturas

Los errores críticos de PGP y S / MIME pueden revelar correos electrónicos cifrados: desinstalar ahora [Actualizado] Los defectos, algunos de los cuales han existido por más de un década, son parte de una serie de vulnerabilidades denominadas Efail descrito por un equipo de investigadores europeos. Las vulnerabilidades Permitir a los atacantes exfiltrar mensajes de texto de correo electrónico incorporando el texto cifrado obtenido previamente en partes no visibles de un correo electrónico y combinándolo con codificación HTML Más temprano el lunes, el investigadores y la Electronic Frontier Foundation emitieron un recomendación recomendando a los usuarios de PGP y S / MIME que deshabiliten el cifrado en sus clientes de correo electrónico, pero habían planeado esperar hasta el martes para Proporcionar detalles técnicos de las vulnerabilidades. En pocas horas, el Los investigadores publicaron el artículo, titulado Efail: Breaking Cifrado de correo electrónico S / MIME y OpenPGP utilizando canales de filtración.

Las vulnerabilidades más graves han residido en Thunderbird, macOS Mail y Outlook por más de 10 años y permanecen sin reparar Por el momento, dijeron los investigadores. Defectos en la forma en que los programas manejar correos electrónicos con múltiples partes del cuerpo que permiten incrustar fragmentos invisibles de texto cifrado obtenido previamente en nuevo emails. Al incluir también la dirección web de un atacante controlado servidor, los correos electrónicos enviados recientemente pueden hacer que los programas envíen texto plano correspondiente al servidor. Los subrepticios la exfiltración funciona en contra de los estándares PGP y S / MIME.

“Si utiliza PGP o S / MIME para información confidencial, entonces esto es un gran problema “, Matt Green, profesor especializado en cifrado en Johns Hopkins University, dijo a Ars el lunes. “Significa que esos Los correos electrónicos no son potencialmente seguros. Hay un ataque real que puede ser explotado por personas que les permitan descifrar una gran cantidad de correo electrónico encriptado “.

Hasta ahora, los investigadores no han podido desarrollar un trabajo exploit que funciona cuando los correos electrónicos se ven como texto en lugar de en HTML. Eso significa una forma menos disruptiva de mitigar el vulnerabilidad es deshabilitar HTML en clientes de correo electrónico. Los investigadores dijeron que creen que es posible exfiltrar texto sin formato incluso cuando HTML está deshabilitado usando varios métodos diferentes. Uno involucra adjuntar documentos PDF o Microsoft Word maliciosos que se filtran en sí mismo cuando se abre. Otro método potencial podría hacer pequeños cambia al texto sin formato para llamarlo a una fuga a un servidor.

Los investigadores dijeron que hicieron la recomendación más drástica desactivar temporalmente PGP en aplicaciones de correo electrónico de una abundancia de precaución. Incluso cuando las personas siguen tales consejos, aún es posible para enviar y recibir correo cifrado, siempre que el cifrado y el descifrado ocurre en una aplicación que está separada del Cliente de correo electronico. EFF tiene muchos más consejos aquí.

Los siguientes videos muestran a Efail explotando Thunderbird y Mac Correo. Los videos son narrados por Sebastian Schinzel, profesor de seguridad informática en la Universidad de Ciencias Aplicadas de Münster y uno de los autores del artículo.

Efail de demostración contra Thunderbird. Efail demo en Apple Mail.

El requisito de que un atacante ya tenga posesión de un El mensaje cifrado es una consideración importante. Significa que el el atacante primero tendría que entrar en un servidor de correo electrónico, hacerse cargo una cuenta de correo electrónico, interceptar el tráfico cuando cruzó Internet, o tener acceso a un disco duro que almacena un correo electrónico enviado anteriormente. los el atacante tendría que obtener el remitente o uno de los receptores del mensaje obtenido previamente para abrir un nuevo atacante enviado correo electrónico. El nuevo correo electrónico incorporaría partes del texto cifrado en lugares que a menudo no muestran Thunderbird, Mail, Outlook, y más de dos docenas de otros programas de correo electrónico. Cuando se hace correctamente, el ataque provoca el correspondiente texto sin formato de esos fragmentos a mostrarse en un servidor controlado por el atacante.

https://efail.de/efail-attack-paper.pdf

Si bien el requisito de que los atacantes tengan acceso a los correos electrónicos enviados son una barra extremadamente alta, el propósito de ambos PGP y S / MIME es para proteger a los usuarios contra esta posibilidad. Arstendrá mucha más cobertura de las vulnerabilidades de correo electrónico, y el Los investigadores tienen más información aquí.

En un correo electrónico enviado dos horas después de la publicación de esta publicación, Ryan Sipes, el administrador de la comunidad para el grupo de desarrolladores que mantiene Thunderbird, escribió: “Un parche que aborda el último exploit conocido vector ha sido enviado y actualmente está en revisión y probado Esperamos ver esta tierra en una actualización para nuestros usuarios antes al final de la semana. “Los representantes de Apple no han respondido a un solicitud de comentario.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: