Verschlüsselung: Outlook versendet S/MIME-Mails auch unverschlüsselt

Eine Sicherheitslücke in Outlook hat zur Folge, dass per S/MIME verschlüsselte Mails auch im Klartext mitgesendet werden. Microsoft hat den Fehler am Patchday behoben.

Artikel veröffentlicht am ,
Microsoft hat eine Sicherheitslücke in Outlook geschlossen.
Microsoft hat eine Sicherheitslücke in Outlook geschlossen. (Bild: Martin Wolf/Golem.de)

Microsoft hat eine kritische Sicherheitslücke in der E-Mail-Anwendung Outlook geschlossen. Das Programm hatte zuvor für mindestens sechs Monate bei mit S/MIME verschlüsselten E-Mails in bestimmten Fällen jeweils auch eine unverschlüsselte Kopie mitgesendet. Der Bug wurde von der Sicherheitsfirma SEC Consult entdeckt.

Stellenmarkt
  1. Teamleiter Planung FTTX (m/w/d)
    Hays AG, Rheine
  2. (Junior-) Informatiker (m/w/d)
    Moritz J. Weig GmbH & Co. KG, Mayen
Detailsuche

S/MIME ist eine Alternative zur E-Mailverschlüsselung mit PGP und wird vor allem im Kontext von Behörden und Unternehmen eingesetzt. Die eigentlich verschlüsselten Nachrichten können aufgrund des Fehlers mit relativ geringen technischen Kenntnissen mitgelesen werden, etwa wenn per Phishing Zugriff auf ein Outlook-Konto erlangt wird. Als alternativen Angriff nennt SEC Consult einen Man-in-the-Middle-Angriff auf die Verbindung, dazu wären aber deutlich mehr Kenntnisse notwendig.

Der Fehler tritt auf, wenn Nachrichten als Plaintext codiert werden, im HTML-Format versendete Nachrichten sind also nicht betroffen. Der Plaintext wird mitgesendet, wenn Nachrichten über das Microsoft-Exchange-eigene Protokoll versendet und empfangen werden. Werden Nachrichten über Exchange verschickt, aber per IMAP abgerufen, ist dies nicht der Fall. Wenn Nachrichten hingegen über SMTP verschickt und per IMAP abgerufen werden, kann der Inhalt der Nachricht wiederum ausgelesen werden.

  • Der Fehler sorgt dafür, dass eigentlich verschlüsselte Nachrichten mitgelesen werden können (Bild: SEC Consult)
  • Der Fehler sorgt dafür, dass eigentlich verschlüsselte Nachrichten mitgelesen werden können (Bild: SEC Consult)
  • Die Kennzeichnung deutet auf eine verschlüsselte Mail hin (Bild: SEC Consult)
  • Der Klartext ist trotz Verschlüsselung lesbar. (Bild: SEC Consult)
  • Der Klartext ist trotz Verschlüsselung lesbar. (Bild: SEC Consult)
  • Der Klartext ist trotz Verschlüsselung lesbar. (Bild: SEC Consult)
  • Der Klartext ist trotz Verschlüsselung lesbar. (Bild: SEC Consult)
Der Fehler sorgt dafür, dass eigentlich verschlüsselte Nachrichten mitgelesen werden können (Bild: SEC Consult)

Nach Angaben von SEC Consult hebelt die Sicherheitslücke "Das Prinzip der End-to-End-Verschlüsselung komplett aus und führt sie ad absurdum." Markus Robin, General Manager von SEC-Consult, sagte Golem.de: "Hier hat die Qualitätssicherung bei Microsoft leider in vollem Umfang versagt. Das hätte jemandem im Hause Microsoft auffallen müssen." Von dem Problem ist der Text der E-Mails betroffen, Anhänge nicht, wie SEC Consult mitteilt.

Schwachstelle besteht seit 2017

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Der Fehler sei nach einem Update von Microsoft im Mai 2017 in die Applikation gekommen. SEC Consult habe diese bei routinemäßigen Überprüfungen der eigenen Software entdeckt. Zunächst habe man an einen Konfigurationsfehler geglaubt, sagte Robin. Ein komplett neu aufgesetztes System sei aber ebenfalls verwundbar gewesen. Daher habe man Microsoft im August über das Problem informiert, das Unternehmen habe die Sicherheitslücke dann bestätigt.

Microsoft hat keinen Workaround vorgestellt, wie alte E-Mails geschützt werden können. Das Unternehmen geht davon aus, dass es "unwahrscheinlich" sei, dass die Sicherheitslücke ausgenutzt wird.

Microsoft bedankt sich bei Simon Hofer und Stefan Viehböck von SEC Consult und Florian Gattermeier und Heinrich Wiederkehr von ERNW für die Hinweise.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Form Energy
Eisen-Luft-Akku soll Energiespeicherprobleme lösen

Mit Geld von Bill Gates und Jeff Bezos sollen große, billige Akkus Strom für mehrere Tage speichern. Kann die Technik liefern, was sie verspricht?
Eine Analyse von Frank Wunderlich-Pfeiffer

Form Energy: Eisen-Luft-Akku soll Energiespeicherprobleme lösen
Artikel
  1. iOS 14.7.1 und macOS Big Sur 11.5.1: Apple patcht aktiv ausgenutzte Mac- und iOS-Sicherheitslücke
    iOS 14.7.1 und macOS Big Sur 11.5.1
    Apple patcht aktiv ausgenutzte Mac- und iOS-Sicherheitslücke

    Apple-Nutzer müssen ihre Geräte mit iOS 14.7.1, iPadOS 14,7.1 und MacOS Big Sur 11.5.1 aktualisieren. Es gibt eine aktiv genutzte Sicherheitslücke.

  2. E-Motorräder: Yamaha will Verbrenner auch in 30 Jahren nicht aufgeben
    E-Motorräder
    Yamaha will Verbrenner auch in 30 Jahren nicht aufgeben

    Yamaha will den Verbrennungsmotor für seine Motorräder nicht ganz aufgeben. Selbst in 30 Jahren soll es noch Maschinen mit Auspuff geben.

  3. Halbleiterfertigung: Aus 10 nm wird Intel 7
    Halbleiterfertigung
    Aus 10 nm wird "Intel 7"

    Intel orientiert sich vorerst an TSMC, will aber dank RibbonFets und PowerVias ab 2025 führend bei der Halbleiterfertigung sein.
    Ein Bericht von Marc Sauter

Blarks 14. Okt 2017

Niemand nutzt S/Mime oder sonst eine Verschlüsselung. Seit Jahrzehnten versuche ich...

FreiGeistler 11. Okt 2017

Button "QR generieren" klicken, auf dem Phone "QR Scannen" klicken. Den Rest von deinem...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • PS5 mit Vertrag bei MediaMarkt bestellbar • PCGH-Gaming-PCs stark reduziert (u. a. PC mit RTX 3060 & Ryzen 5 5600X 1.400€) • Samsung G7 27" QLED Curved WQHD 240Hz 459€ • Kingston Fury 32GB Kit 3200MHz 149,90€ • 3 für 2 bei MM • New World vorbestellbar ab 39,99€ [Werbung]
    •  /