+1 (412) 924-5300 info@hornetsecurity.com

EFAIL: (K)eine Schwachstelle in den Verschlüsselungsmethoden PGP und S/MIME

von | Mai 14, 2018 | Security Informationen

EFAIL: (K)eine Schwachstelle in den Verschlüsselungsmethoden PGP und S/MIME

+++++ UPDATE vom 16.5.2018 +++++

 

Um  auch unsere Unternehmenskunden, die ihre E-Mails noch über eine in-House-Lösung ver- und entschlüsseln und noch nicht den Hornetsecurity Encryption Service gebucht haben, proaktiv vor EFAIL zu schützen, haben wir zudem eine gesonderte Filterstufe für Angriffe nach dem EFAIL-Muster entwickelt. Voraussetzung hierfür ist lediglich, dass ihre E-Mail-Kommunikation über die Hornetsecurity-Server läuft, was bei unseren E-Mail-Security Produkten generell der Fall ist.

 

Die Filterstufe ist bei allen unseren Kunden, die mindestens den Hornetsecurity Spamfilter Service gebucht  haben, standardmäßig für alle ein- und ausgehenden E-Mails bereits aktiviert worden und schützt nicht nur vor EFAIL, sondern auch von künftigen Angriffen, die ähnliche Muster aufweisen.

 

+++++

 

Eine bekannte Schwachstelle wird auf die Protokolle PGP und S/MIME übertragen und bringt die Manipulation von E-Mails auf eine neue Ebene. Kein Problem für Hornetsecurity.   Am Montag, den 14.05.2018, veröffentlichte ein Team aus Sicherheitsforschern der Fachhochschule Münster, der Ruhr Universität Bochum und der Universität Leuven (Belgien) ein Paper, das die Sicherheit der Verschlüsselungsstandards PGP und S/MIME infrage stellt und damit weltweites Aufsehen erregt.
Die aufgedeckten Sicherheitslücken (CVE-2017-17688 und CVE-2017-17689) betreffen jedoch nicht die Protokolle selbst, sondern nutzen eine bereits länger bekannte Schwachstelle, um verschlüsselte E-Mails durch den Mail-Client zu entschlüsseln und dem Angreifer zuzustellen.
Voraussetzung für die Ausführung der Angriffe ist, dass die E-Mails bereits in verschlüsselter Form beim Angreifer vorliegen. Dafür müssen die E-Mails auf dem Transportweg abgefangen werden.
Der Angreifer muss zuvor eine Man-In-The-Middle-Attacke (MitM) ausgeführt oder einen Mailserver kompromittiert haben, um Zugang zu den E-Mails zu bekommen, die über ihn oder den Server laufen. Nur wenn diese Voraussetzungen erfüllt sind, kann der Angreifer einen der im Paper beschrieben EFAIL-Angriffe ausführen.
Die Autoren des Papers zeigen zwei ähnliche Angriffsmethoden auf, um E-Mails mit vorhandener PGP- oder S/MIME-Verschlüsselung zu entschlüsseln.
Der erste Angriff ist recht simpel auszuführen, dafür aber auf bestimmte Mail-Clients (Apple-Mail, iOS-Mail, Mozilla Thunderbird) und ggf. dort installierte Plugins von Drittanbietern beschränkt:
Dazu erstellt der Angreifer eine E-Mail mit drei Body-Parts. Der erste Part formatiert die E-Mail als HTML und fügt zudem ein Image-Tag mit einer Ziel-Website ein. Die Anführungszeichen und der Image-Tag werden nicht geschlossen. Darauf folgt im zweiten Body-Part der mit PGP oder S/MIME verschlüsselte Text. Der dritte Part besteht wieder aus einer HTML-Formatierung und schließt den Image-Tag aus Part eins.
E-Mail Body

(Bild Quelle: EFAIL-Angriffe, Stand: 14.05.18)

Stellt der Angreifer diese E-Mail dem Absender der verschlüsselten Nachricht zu, ist es möglich, dass die Nachricht entschlüsselt und an die hinterlegte Website übertragen wird. Dazu muss der Mail-Client so konfiguriert sein, dass er automatisch externe Bilder herunterlädt, ohne den Nutzer danach zu fragen.

Die zweite Möglichkeit, um PGP oder S/MIME verschlüsselte E-Mails auszulesen, besteht aus einer schon länger bekannten Methode zum Extrahieren von Plaintext in Blöcken verschlüsselter Nachrichten.

Das für S/MIME CBC-Angriff und für PGP CFB-Angriff genannte Angriffsszenario ermittelt in einer verschlüsselten Nachricht einen bekannten Textanteil und überschreibt anschließende Blöcke mit eigenen Inhalten. Bei dem EFAIL-Angriff wird, wie im ersten Teil beschrieben, wieder ein Image-Tag mit einer Zielwebsite in den verschlüsselten Text eingefügt. Wird die Nachricht danach an den eigentlichen Empfänger der verschlüsselten Nachricht zugestellt, ist es möglich, dass die Nachricht entschlüsselt und an den Angreifer übertragen wird.

Die von Hornetsecurity verschlüsselten E-Mails sind per Design vor Angriffen dieser Art geschützt, da Hornetsecurity die für den Angriff vorausgesetzten unterschiedlichen Content-Types (Multipart/Mixed) gar nicht erst zulässt.

Die Verschlüsselungsmethoden selbst – S/MIME und PGP – wurden nicht gebrochen; vielmehr wurden Schwachstellen in E-Mail-Clients für HTML-Mails gefunden, die diese Verschlüsselungstechniken umgehen. Zudem widersprechen wir der Empfehlung diverser Sicherheitsforscher nach genereller Deaktivierung von Inhaltsverschlüsselung: PGP und S/MIME sind auch nach dieser Veröffentlichung weiterhin nicht per se unsicherer als keine oder eine reine transportverschlüsselte Übertragung. Da der Angriff eine MitM-Attacke, also ein Aufbrechen der eventuellen Transportverschlüsselung voraussetzt, wäre ein generelles Aushebeln von Inhaltsverschlüsselung fatal: Eventuelle Angreifer könnten den E-Mail-Verkehr dann sogar direkt mitlesen!

„Die gestern verbreitete Darstellung, PGP und S/MIME seien nicht mehr sicher, ist barer Unsinn“, ergänzt Daniel Hofmann, Geschäftsführer bei Hornetsecurity. „Sie führt zur Verunsicherung der Anwender und läuft dadurch allen Bemühungen zuwider, die IT-Sicherheit durch konsequenten Einsatz von Verschlüsselung zu verbessern. Die Empfehlung diverser Sicherheitsforscher nach genereller Deaktivierung von Inhaltsverschlüsselung kann ich nicht nachvollziehen.“

 

Der gegen EFAIL immunen Hornetsecurity Encryption Service benötigt keinerlei Client-Plugins: Die Ver- und Entschlüsselung erfolgt vollautomatisiert durch Hornetsecurity in der Cloud – es sind keine Installation, Wartung oder Nutzerinteraktion erforderlich – einfach sicher!

Weiterführende Informationen: