15.05.2018 - 10:11:28

Schwachstelle in OpenPGP und S/MIME

Sicherheitsforscher der FH Münster, Ruhr-Universität Bochum und Universität Leuven haben eine Schwachstelle in den Verschlüsselungsstandards gefunden.

Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt zur weiteren sicheren Verwendung der Verschlüsselungsstandards, das Ausführen aktiver Inhalte in E-Mails und das Nachladen externer Inhalte in den verwendeten Mail-Clients zu deaktivieren!

Der beschriebene Angriff kann erfolgen, wenn ein Angreifer in den Besitz einer verschlüsselten Mail gelangt.
Den verschlüsselten Text versteckt er dann in einer an den ursprünglichen Empfänger gerichteten E-Mail.
Dessen Mail-Client erkennt den chiffrierten Text und entschlüsselt ihn automatisch mit dem privaten Schlüssel des Empfängers.
Der entschlüsselte Text wird dann in einen externen Link eingebettet, welcher auf einen vom Angreifer kontrollierten Server verweist.

Bei unsicherer Konfiguration de Mail-Clients ruft dieser automatisch den externen Link auf, um Inhalte nachzuladen und verrät damit den entschlüsselten Text an den Angreifer.

Bis alle Mail-Clients gepatcht sind, sollte daher unbedingt das Nachladen externer Inhalte abgeschaltet werden. Achten Sie vor allem auf die Einstellung von Mail-Clients externer Geräte, da hier das Nachladen standardmäßig aktiviert ist.

Nähere Informationen erhalten Sie unter:
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/efail-schwachstellen_15052018.html