Abo
  • Services:
Anzeige
Microsoft hat eine Sicherheitslücke in Outlook geschlossen.
Microsoft hat eine Sicherheitslücke in Outlook geschlossen. (Bild: Martin Wolf/Golem.de)

Verschlüsselung: Outlook versendet S/MIME-Mails auch unverschlüsselt

Microsoft hat eine Sicherheitslücke in Outlook geschlossen.
Microsoft hat eine Sicherheitslücke in Outlook geschlossen. (Bild: Martin Wolf/Golem.de)

Eine Sicherheitslücke in Outlook hat zur Folge, dass per S/MIME verschlüsselte Mails auch im Klartext mitgesendet werden. Microsoft hat den Fehler am Patchday behoben.

Microsoft hat eine kritische Sicherheitslücke in der E-Mail-Anwendung Outlook geschlossen. Das Programm hatte zuvor für mindestens sechs Monate bei mit S/MIME verschlüsselten E-Mails in bestimmten Fällen jeweils auch eine unverschlüsselte Kopie mitgesendet. Der Bug wurde von der Sicherheitsfirma SEC Consult entdeckt.

Anzeige

S/MIME ist eine Alternative zur E-Mailverschlüsselung mit PGP und wird vor allem im Kontext von Behörden und Unternehmen eingesetzt. Die eigentlich verschlüsselten Nachrichten können aufgrund des Fehlers mit relativ geringen technischen Kenntnissen mitgelesen werden, etwa wenn per Phishing Zugriff auf ein Outlook-Konto erlangt wird. Als alternativen Angriff nennt SEC Consult einen Man-in-the-Middle-Angriff auf die Verbindung, dazu wären aber deutlich mehr Kenntnisse notwendig.

Der Fehler tritt auf, wenn Nachrichten als Plaintext codiert werden, im HTML-Format versendete Nachrichten sind also nicht betroffen. Der Plaintext wird mitgesendet, wenn Nachrichten über das Microsoft-Exchange-eigene Protokoll versendet und empfangen werden. Werden Nachrichten über Exchange verschickt, aber per IMAP abgerufen, ist dies nicht der Fall. Wenn Nachrichten hingegen über SMTP verschickt und per IMAP abgerufen werden, kann der Inhalt der Nachricht wiederum ausgelesen werden.

  • Der Fehler sorgt dafür, dass eigentlich verschlüsselte Nachrichten mitgelesen werden können (Bild: SEC Consult)
  • Der Fehler sorgt dafür, dass eigentlich verschlüsselte Nachrichten mitgelesen werden können (Bild: SEC Consult)
  • Die Kennzeichnung deutet auf eine verschlüsselte Mail hin (Bild: SEC Consult)
  • Der Klartext ist trotz Verschlüsselung lesbar. (Bild: SEC Consult)
  • Der Klartext ist trotz Verschlüsselung lesbar. (Bild: SEC Consult)
  • Der Klartext ist trotz Verschlüsselung lesbar. (Bild: SEC Consult)
  • Der Klartext ist trotz Verschlüsselung lesbar. (Bild: SEC Consult)
Der Fehler sorgt dafür, dass eigentlich verschlüsselte Nachrichten mitgelesen werden können (Bild: SEC Consult)

Nach Angaben von SEC Consult hebelt die Sicherheitslücke "Das Prinzip der End-to-End-Verschlüsselung komplett aus und führt sie ad absurdum." Markus Robin, General Manager von SEC-Consult, sagte Golem.de: "Hier hat die Qualitätssicherung bei Microsoft leider in vollem Umfang versagt. Das hätte jemandem im Hause Microsoft auffallen müssen." Von dem Problem ist der Text der E-Mails betroffen, Anhänge nicht, wie SEC Consult mitteilt.

Schwachstelle besteht seit 2017

Der Fehler sei nach einem Update von Microsoft im Mai 2017 in die Applikation gekommen. SEC Consult habe diese bei routinemäßigen Überprüfungen der eigenen Software entdeckt. Zunächst habe man an einen Konfigurationsfehler geglaubt, sagte Robin. Ein komplett neu aufgesetztes System sei aber ebenfalls verwundbar gewesen. Daher habe man Microsoft im August über das Problem informiert, das Unternehmen habe die Sicherheitslücke dann bestätigt.

Microsoft hat keinen Workaround vorgestellt, wie alte E-Mails geschützt werden können. Das Unternehmen geht davon aus, dass es "unwahrscheinlich" sei, dass die Sicherheitslücke ausgenutzt wird.

Microsoft bedankt sich bei Simon Hofer und Stefan Viehböck von SEC Consult und Florian Gattermeier und Heinrich Wiederkehr von ERNW für die Hinweise.


eye home zur Startseite
Blarks 14. Okt 2017

Niemand nutzt S/Mime oder sonst eine Verschlüsselung. Seit Jahrzehnten versuche ich...

FreiGeistler 11. Okt 2017

Button "QR generieren" klicken, auf dem Phone "QR Scannen" klicken. Den Rest von deinem...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Feuerbach
  2. Deloitte, Stuttgart, Frankfurt, Düsseldorf, München, Hamburg
  3. HUK-COBURG Versicherungsgruppe, Coburg
  4. PAUL HARTMANN AG, Heidenheim an der Brenz


Anzeige
Top-Angebote
  1. (u. a. Echo 79,99€ statt 99,99€, Echo Dot 34,99€ statt 59,99€, Fire TV Stick 24,99€ statt...
  2. (u. a. 480-GB-SSD 122,00€ (Vergleichspreis ab 137,24€), 16-GB-USB-Stick 6,99€, 64-GB-USB...
  3. 599,00€ statt 699,00€ (Versandkostenfrei)

Folgen Sie uns
       


  1. FTTH

    Deutsche Glasfaser kommt im ländlichen Bayern weiter

  2. Druck der Filmwirtschaft

    EU-Parlament verteidigt Geoblocking bei Fernsehsendern

  3. Fritzbox

    In Bochum beginnen Gigabit-Nutzertests von Unitymedia

  4. PC

    Geld für Intel Inside wird stark gekürzt

  5. Firmware

    Intel will ME-Downgrade-Attacken in Hardware verhindern

  6. Airgig

    AT&T testet 1 GBit/s an Überlandleitungen

  7. Zenfone 4 Pro

    Asus' Top-Smartphone kostet 850 Euro

  8. Archäologie

    Miniluftschiff soll Kammer in der Cheops-Pyramide erkunden

  9. Lohn

    Streik bei Amazon an zwei Standorten

  10. Vorratsdatenspeicherung

    Die Groko funktioniert schon wieder



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Twitch, Youtube Gaming und Mixer: Weltweites Aufmerksamkeitsdefizit
Twitch, Youtube Gaming und Mixer
Weltweites Aufmerksamkeitsdefizit
  1. Kiyo und Seiren X Razer bringt Ringlicht-Webcam für Streamer
  2. Roboter Megabots kündigt Video vom Roboterkampf an
  3. Free to Play World of Tanks bringt pro Nutzer und Monat 3,30 Dollar ein

Umrüstung: Wie der Elektromotor in den Diesel-Lkw kommt
Umrüstung
Wie der Elektromotor in den Diesel-Lkw kommt
  1. National Electric Vehicle Sweden Der Saab 9-3 ist zurück als Elektroauto
  2. Kein Plug-in-Hybrid Rolls-Royce Phantom wird vollelektrisch
  3. Ionity Shell beteiligt sich am Aufbau einer Ladeinfrastruktur

China: Die AAA-Bürger
China
Die AAA-Bürger
  1. IT-Sicherheit Neue Onlinehilfe für Anfänger
  2. Microsoft Supreme Court entscheidet über die Zukunft der Cloud

  1. Re: Glasfaser an die vorhandenen Masten hängen

    postb1 | 18:02

  2. Re: Wer braucht so viel Datendurchsatz wofür?

    Pornstar | 17:56

  3. oukitel k10000 max

    LiPo | 17:56

  4. Re: Wieso grinsen die beiden kahlköpfigen...

    Faksimile | 17:55

  5. Re: Latenz senken?

    Pornstar | 17:54


  1. 17:01

  2. 16:38

  3. 16:00

  4. 15:29

  5. 15:16

  6. 14:50

  7. 14:25

  8. 14:08


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel