11.10.2017

Microsoft gab gestern in einem Advisory bekannt, dass eine schwerwiegende Sicherheitslücke in Microsoft Outlook existiert.

E-Mails, welche per Outlook mit S/MIME verschlüsselt und im „Plain Text“-Format verschickt wurden, wurden offenbar parallel dazu auch unverschlüsselt mitversendet. Diese Sicherheitslücke existiert seit mindestens 6 Monaten (genaue Informationen sind noch ausstehend).

Obwohl die Auswirkungen auf die Vertraulichkeit durchaus kritisch sein können, kann für Unternehmen teilweise Entwarnung gegeben werden:

    1. In den allermeisten Firmenumgebungen mit Outlook, kommt auch Exchange zum Einsatz. In diesem Fall sind die unverschlüsselten Inhalte «nur» auf der Exchange-Infrastruktur oder mit direktem Zugriff auf die Mailbox eines betroffenen Benutzers (Sender oder Empfänger) zugreifbar. Die unverschlüsselten Inhalte der E-Mails werden jedoch offenbar nicht nach aussen (zu externen Empfängern) weitergeleitet und sind damit auch nicht im Internet mitlesbar.
    2. Die Sicherheitslücke betrifft nur E-Mails, welche im „Plain Text“-Format verschickt wurden. HTML-Mails (die Standard-Einstellung) sind offenbar nicht betroffen.
    3. Nach den Informationen von Microsoft beschränken sich die betroffenen Versionen (innerhalb der noch unterstützten) auf Outlook 2016.
    4. Maillösungen, welche ihre Verschlüsselung ausserhalb von Outlook vornehmen (z. B. über eine zentrale Secure Mail Appliance), sind ebenfalls nicht betroffen.

Auf Grund dieser Einschränkungen sollten nach bisherigem Kenntnisstand hauptsächlich Privatanwender von dieser Sicherheitslücke betroffen sein (wenn die Nachrichten über SMTP versendet werden). Unbekannt sind jedoch bisher die Auswirkungen auf Office 365, Outlook.com oder ähnliche Dienste.

Sollten die obenstehenden Kriterien nicht auf Ihr Mailsystem zutreffen, unterstützt Oneconsult Sie gerne bei einer Überprüfung.

Quellen:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-11776
https://www.sec-consult.com/en/blog/2017/10/fake-crypto-microsoft-outlook-smime-cleartext-disclosure-cve-2017-11776/index.html