EFAIL kritická zranitelnost OpenPGP a S/MIME umožňuje útočníkovi rozšifrovat e-maily

14. 5. 2018

Autor: Depositphotos

Výzkumníci z universit v Münsteru, Ruhru a Leuvenu objevili kritickou zranitelnost OpenPGP a S/MIME, která umožňuje útočníkovi rozšifrovat e-maily, i ty dávno poslané. Chyba byla nazvaná EFAIL a má i svoji stránku. Detaily měly být zveřejněny až zítra, ale už jsou přístupné, protože informace začaly prosakovat.

Útočník musí nejprve získat šifrovaný e-mail, třeba posloucháním síťového provozu nebo nabouráním se do e-mailové schránky. Tyto šifrované e-maily mohly být posbírány již před lety. Útočník pak pozmění obsah e-mailu například přidáním externího stylu nebo obrázku. Pozměněný e-mail je poslán oběti, klient oběti e-mail automaticky rozšifruje a předá rozšifrovaný obsah útočníkovi.

Zatím není známá žádná oprava. Doporučuje se zakázat rozšifrovávání v klientovi a zakázat HTML.

(zdroj: bleepingcomputer)

Našli jste v článku chybu?

Zasílat nově přidané názory e-mailem

Aktualita je stará, nové názory již nelze přidávat.

14. 5. 2018 13:24

just HYPE (neregistrovaný)

postihuje jen velmi male procento postovnich klientu
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
14. 5. 2018 13:31

Kejchal (neregistrovaný)

No nevim 25 klientu z 35 na S/Mime a 10 z 28 na OpenPGPmi neprijedete jak nizkou procento.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
14. 5. 2018 13:32

Kejchal (neregistrovaný)

Sorry, blba T9.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
14. 5. 2018 13:35

BobTheBuilder

Stříbrný podporovatel

Poštovních klientů to postihuje celkem dost, ale:
1) kolik uživatelů používá poštovní klienty (obávám se, že velmi málo)
2) kdo z těch, kdo nepoužívají poštovní klienty, může použít šifrování (obávám se, že skoro nikdo)
3) aby EFAIL fungoval, musí a) se vám nabourat do schránky (to už máte problém mnohem větší) nebo b) odchytit komunikaci mezi servery (při dnešním rozšíření SMTP/SSL to taky nebude snadné)
Takže, z 1) a 2) plyne, že zašifrovaných mailů ve schránkách je opravdu velmi málo a z 3a) že podstatná rizika e-mailu jsou někde jinde (ochrana schránky a počítače).
Opravit to je, samozřejmě, nutné.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
14. 5. 2018 14:07

s (neregistrovaný)

Kdyz se dostanu do neci emailove schranky a uvidim v ni zasofrpvany email, je myslim EFAIL idealni zpusob, jak si ho precist.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
14. 5. 2018 14:28

Boo (neregistrovaný)

3.a) sudo cat /var/spool/mail/JMENO
Kdejaky spravce serveru ma pristup k emailum, takze dostat se k sifrovane sprave nemusi byt slozite. Mnozi uzivatele pouzivaji pgp prave proto aby spravce sice mohl manipulovat se soubory ale nevidel co je v nich.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
14. 5. 2018 15:14

Jenda (neregistrovaný)

> 3) aby EFAIL fungoval, musí a) se vám nabourat do schránky (to už máte problém mnohem větší) nebo b) odchytit komunikaci mezi servery (při dnešním rozšíření SMTP/SSL to taky nebude snadné)

Vždyť PGP se používá přesně kvůli tomu, že tohle hrozí.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
14. 5. 2018 14:08

Miroslav Šilhavý

No, S/MIME sice nepoužívá každý, dokonce ho nepoužívá ani podstatná část lidí.
Ale ti, kteří ho používají, jsou na tom dost často závislí a toto zapáchá obrovským průšvihem, který si bude žádat přešifrování toho, co je šifrované dnes.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
14. 5. 2018 15:22

vh (neregistrovaný)

nene, staci jen kdyz prijemce zasifrovanych mailu nebude mit klienta nachylneho na tuto chybu
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
14. 5. 2018 15:41

BobTheBuilder

Stříbrný podporovatel

No ano, ale když takové věci používám (asi pracuji s něčím velmi důvěrným), tak troška paranoie je na místě a ochrání mě:
1) pokud si útočník pohraje s mým mailem, nebude souhlasit DKIM (nebo bude platný, ale pro neplatnou doménu) - řeší doplněk Tunderbirdu DKIM verifier
2) nemám povolené automatické zobrazení vzdáleného obsahu - opět nastavení Thunderbirdu
3) a navíc asi bych měl používat šifrování && podpis, pak zase u pozměněné zprávy narazím na nesoulad (ostatně, pozměněná zpráva je možná někdy ještě horší, než rozšifrovaná)
A ne, přešifrovávat není potřeba, jen opravit chyby v klientech.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
15. 5. 2018 20:23

PF

Ad 1) jste nepochopil princip exploitu. DKIM sedět klidně bude. Útočník pošle regulérní mail (a jeho server přiloží správný DKIM podpis), kde multipart/encrypted bude PGP tělo, které útočník potřebuje rozkódovat, před toto tělo dá začátek HTML značky a za tělo dá konec značky. E-mail bude klidně poslán z regulérního mailu přes správný server, takže žádná kontrola DKIMu nepomůže.
Ad 2) Ano, tohle pomůže.
Ad 3) Opět špatně. Část mailu, která je podepsána/šifrována bude nezměněna, tak na žádný nesoulad nenarazíte. Útočník totiž upraví ty části e-mailu, které nejsou podepisovány, ani šifrovány.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
14. 5. 2018 21:49

PF

Stačí si vypnout zpracování HTML v poštovním klientu, pracovat jen s plaintextem a problém je vyřešen. Než se opraví e-mailoví klienti...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
14. 5. 2018 22:43

KarelI

Přešifrování je k ničemu, protože v tom chyba není. Problém je v tom, že klienta lze vzdáleně donutit, aby zprávu rozšifroval a odeslal, tam sebelepší šifra nepomůže.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
14. 5. 2018 13:44

peter (neregistrovaný)

Doporucuji kliknout si na link. Ta zpravicka nevysvetluje presne, o co go.
Utocnik vytvori source-code noveho mailu tak, ze prida prilohu (--BOUNDARY) html obrazek s externi url. K adrese prida prilohu (--BOUNDARY) kod stareho mailu.
<img src=link/--BOUNDARY sifrovanymail">
Uzivatel mail otevre. Renderovaci program se pokusi vsechny prilohy nacist. Desifruje mail a prida k adrese obrazku. Cili, odesle desifrovany mail utocnikovi. Viz obrazek na te strance
https://efail.de/media/exfil1.png
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
14. 5. 2018 14:09

David1234 (neregistrovaný)

Na základě toho obrázku jsem konečně pochopil. To ale není zranitelnost OpenPGP ale emailových klientů, ne?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
14. 5. 2018 14:12

MarSik (neregistrovaný)

Asi obojí.. klient by neměl automaticky nahrávat obrázky z externích zdrojů a PGP by nemělo dešifrovat každý náhodný blok, který náhodou jako šifra vypadá.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
14. 5. 2018 14:16

654 (neregistrovaný)

Jde o sérii slabin a většině jde zabránit. Jednomu z útoků lze zabránit striktním zahazování všech zpráv, u kterých nesouhlasí nebo chybí kontrolní součet (detekce úpravené zprávy je přece jedna ze základních funkcí kontrolního součtu u asymetrické kryptografie). Zacházení s kontrolním součtem/otiskem bohužel není v PGP striktně uvedeno, takže to záleží na implementaci Další slabina je standardní chyba, kdy nějaký vložený kód v textu dělá problémy - konkrétně neukončené uvozovky zdroje obrázku odešlou dotaz na obrázek, v jehož adrese je celý text zprávy (klasická chyba, v minulosti bylo například v IE možné pomocí pokusu o načtení černobílé, 512x512 velké bitmapy, které měla ale ve skutečnosti velikost 1x1, zobrazit v prohléžeči memory dump paměti za obrázkem). Všechny tyto útoky ale vyžadují obejití otisku zprávy!

Ale všechny slabiny mají něco společného. Vyžadují úpravu zprávy, kterou klient sežere i s navijákem. Systémové protiopatření existuje, ale bude to vyžadovat nějaké změny v implementaci PGP. Princip nápravy je jednoduchý:
- defaultně zakázat kód uvnitř zprávy
- povinná, striktní kontrola otisku zprávy
- striktně zahazovat všechno, co není zahrnuto v šifrované části s platným otiskem zprávy, včetně dalších přidaných "přílepků". Zdá se, že soudruzi z NDR hrubě podcenili význam otisku šifrované zprávy.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
15. 5. 2018 4:17

takysekuritak (neregistrovaný)

Bingo! Dobra prace, pane!
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
15. 5. 2018 20:28

PF

Jste nepochopil exploit. Útočník upravuje části mailu, které jsou mimo šfrované/podepisované tělo. Otisky (podpisy) zprávy se jinak běžně kontrolují, to je přece základ každého šifrování/podepisování. (Poslední věta je o ničem)
Chyba je jen v klientech. Správně by měli zahazovat všechny ostatní multipart části, pokud narazí na šifrovanou (nebo podepsanou) část mailu.
- Zobrazit celé vlákno