PRESENTACION

Compartir

Vulnerabilidades en los clientes de correo electrónico con estándares OpenPGP y S/MIME


Vulnerabilidades en los clientes de correo electrónico con estándares OpenPGP y S/MIME

Publicado en2018

Nivel de peligrosidad: Alto

El Equipo de Respuesta a incidentes del Centro Criptológico Nacional, CCN-CERT, alerta de la publicación de dos vulnerabilidades críticas en los clientes de correoelectrónico que soportan implementaciones OpenPGP y S/MIME.

Vulnerabilidades

Las vulnerabilidades detectadas son las siguientes:

1) CVE-2017-17688 y CVE-2017-17689. Las vulnerabilidades, que han sido comúnmente denominadas como “Efail” (resultado de la unión de las palabras “email” y “fail”), permiten revelar el contenido de los mensajes de correo electrónico cifrados de extremo a extremo con extensiones OpenPGP y S/MIME.

Para que estas vulnerabilidades sean explotables:

1.   El destinatario del mensaje ha de disponer de un cliente de correo vulnerable

2.   Y además el contenido del mensaje ha de utilizar los estándares OpenPGP o S/MIME.

Un atacante puede obtener un mensaje descifrado abusando de esta vulnerabilidad. Para ello debe haber conseguido previamente una copia del mensaje emitido, modificarlo intercalando fragmentos de código HTML con el texto cifrado original y reenviarlo a la víctima, es decir, al que fuera destinatario del mensaje original.

Las vulnerabilidades son explotadas en el momento en el que el cliente de correo electrónico decide aplicar el formato HTML a la totalidad del mensaje, siempre quela visualización de mensajes HTML y la opción de carga de contenido remoto se encuentren habilitadas. De este modo, el cliente de correo electrónico emitirá automáticamente una solicitud web al atacante que le permita descargar el texto descifrado a través de una ruta URL.

Clientes de correo afectados

9Folders, Inc.


Airmail


Apple


eM Client


Evolution


Flipdog Solutions, LLC


GnuPG


Google


GPGTools


IBM Corporation


KMail


MailMate


Microsoft


Mozilla


Outlook


Postbox, Inc.


R2Mail2


Ritlabs, SRL


Roundcube


The Enigmail Project


The Horde Project


Thunderbird


Trojita


Medidas de mitigación

El CCN-CERT recomienda a los usuarios de clientes de correo electrónico vulnerables, dado que aún no se ha publicado actualización de seguridad que solucione las vulnerabilidades, aplicar las siguientes medidas de mitigación:

Deshabilitar la opción de carga de contenido remoto.


Desactivar la visualización de mensajes en formato HTML en el cliente de correo electrónico.


Desactivar el descifrado automático de los mensajes y utilizar una aplicación independiente de descifrado.


Referencias

Certsi


Efail


Electronic Frontier Foundation


Hispasec


Sophos


0 comentarios:

Actualidad Policial del Cuerpo Nacional de Policía

Guardia Civil

Juan M. Medela. Con la tecnología de Blogger.