Обнародованы подробности, касающиеся уязвимости в PGP и S/MIME

Новости информационной безопасности




Обнародованы подробности, касающиеся уязвимости в PGP и S/MIME

В понедельник, 14 мая 2018 года, группа исследователей компьютерной безопасности обнаружила критическую уязвимость в инструментах шифрования PGP и S/MIME. Как и ожидалось, 15 мая специалисты опубликовали технические подробности бреши.

Все оказалось не так плохо

Оказалось, что проблема кроется не в самой технологии или криптографии, а в фактической реализации и окружающей экосистеме. Согласно докладу, уязвимы, к примеру, почтовые клиенты Thunderbird, Outlook и Apple Mail, а также их PGP-плагины Enigmail, Gpg4win и GPG Tools соответственно.

Таблица уязвимых к багам с PGP и SMIME почтовых клиентовИспользование уязвимости подразумевает, что злоумышленник получил доступ к чужим письмам. Для этого сначала необходимо взломать почтовый ящик жертвы, почтовый сервер или перехватить трафик, проведя так называемую «атаку посредника» (man-in-the-middle).

man-in-the-middle

Получив доступ к переписке своей жертвы, злоумышленник размещает в письмах HTML-теги, например, img или style. Отправитель или один из реципиентов должны открыть вредоносное письмо. При этом почтовый клиент обработает HTML, включая ссылки на внешние источники. Программа автоматически дешифрует защищенное послание, а в случае, если происходит загрузка данных с внешних источников, хакер просто присылает отредактированное им зашифрованное письмо, получая в ответ уже расшифрованную копию.

принцип работы уязвимостипринцип работы уязвимостипринцип работы уязвимости 3Вторым способом атаки является эксплуатация брешей в спецификациях OpenPGP (CVE-2017-17688) и S/MIME (CVE-2017-17689). Используя HTML-теги, злоумышленник манипулирует блоками шифротекста в режимах CBC и CFB.

SMIME-атака

По словам исследователей, жертве нужно просто открыть письмо в своем почтовом клиенте, после чего будет расшифрован подставной шифротекст. Благодаря манипуляциям расшифрованный текст будет содержать в себе канал эксфильтрации данных, после чего этот же канал будет использоваться для отправки расшифрованного текста злоумышленнику.

Ниже представлены видео, демонстрирующие использование уязвимостей:

Мнение экспертов

Эксперты сошлись во мнении, что масштаб проблемы сильно преувеличен. Разобравшись в проблеме, специалисты пояснили, что для обеспечения приватности шифрованной переписки достаточно использовать почтовые клиенты, не имеющие данной бреши, а так же отказаться от автоматической обработки HTML.

Мэттью Грин, профессор Университета Джона Хопкинса, заявил в своем твиттере, что несмотря на крутость данной атаки, она вряд ли получит широкое распространение в массах:

Разработчики уже приступили к устранению уязвимости. Команда Thunderbird анонсировала патч, устраняющий данную проблему, а GnuPG написала в своем твиттере, что пользователи свежей версии Enigmail в безопасности:

Напомним, что в январе 2018 года похожую скорость показала компания Microsoft, которая отреагировала на совокупность найденных критических уязвимостей, выпустив патч менее чем за сутки.

Источник: Хакер

Азат Вильданов

Ещё интересное для вас:
Тест: что вы знаете о работе мозга?
Базовый чек-лист по SEO перед сдачей сайта заказчику
Что посмотреть и куда сходить разработчку — ближайшие события

Дата: 2018-05-16 11:58:57

Источник: https://tproger.ru/news/pgp-flaw-details/

новости,безопасность