Vulnerabilità in Crittografia Email PGP e S/MIME (EFAIL)

Proto: N050518.

 

Con la presente Yoroi desidera informarLa riguardo alla pubblicazione di importanti vulnerabilità all’interno di vari sistemi di cifratura email end-2-end basati sugli standard PGP e S/MIME. Le criticità sono note con l’alias “EFAIL” al quale fanno riferimento i codici CVE-2017-17688 e CVE-2017-17689.

Le problematiche in oggetto possono essere sfruttate da un attaccante già in possesso di comunicazioni email cifrate per la decrittazione dei messaggi attraverso l’abuso di funzionalità presenti nei client di posta, unitamente a lacune negli standard utilizzati. L’attaccante può essere in grado di decorare o modificare i messaggi cifrati intercettati in maniera tale da iniettare codice html all’interno del messaggio di posta originale: re-inviando il messaggio opportunamente modificato all’interlocutore originale, il codice html inserito dall’attaccante viene interpretato ed il testo in chiaro del messaggio può essere esfiltrato tramite richieste HTTP verso destinazioni remote.


Figura 1. Schema di attacco EFAIL (Fonte:efail.de)


I ricercatori hanno pubblicato dettagli tecnici sullo sfruttamento della problematica in due principali varianti:

  • Esfiltrazione diretta, la quale sfrutta debolezze nei client di posta quali Apple Mail, iOS Mail e Mozilla Thunderbird attraverso email multipart appositamente create;
  • Esfiltrazione basata su CBC/CFB Gadget, la quale sfrutta debolezze degli standard PGP e S/MIME per portare a termine un attacco KPA in grado di alterare il messaggio come descritto.

Nel dettaglio, risultano afflitte le gestioni di messaggi S/MIME e/o PGP in numerosi client di posta quali:

  • Windows
    • Outlook 2007
    • Outlook 2010
    • Outlook 2013
    • Outlook 2016
    • Windows 10 Mail
    • Windows Live Mail
    • The Bat!
    • Postbox
    • eM Client
    • IBM Notes
  • Linux
    • Thunderbird
    • Evolution
    • Trojita
    • KMail
  • Mac OS
    • Apple Mail
    • MailMate
    • Airmail
  • iOS
    • Mail App
  • Android
    • R2Mail2
    • MailDroid
    • Nine
  • Webmail
    • GMail
  • Webapp
    • Roundcube
    • Horde IMP

A questo proposito, qualora all’interno della Vostra organizzazione vengano utilizzate tecnologie di cifratura email coinvolte dalla problematica, Yoroi consiglia di monitorare ed applicare gli aggiornamenti di sicurezza pubblicati dai rispettivi manutentori di client di posta ed estensioni per cifratura end-2-end. Yoroi consiglia inoltre di valutare la disabilitazione temporanea del supporto HTML all’interno delle comunicazioni email cifrate.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index