Blog
Informative, up-to-date and exciting - the Oneconsult Cybersecurity Blog.

Microsoft Outlook Microsoft Outlook sends supposedly encrypted messages unencrypted

Microsoft yesterday announced in an advisory that a severe security vulnerability exists in Microsoft Outlook. Article in German.

E-Mails, welche per Outlook mit S/MIME verschlüsselt und im “Plain Text”-Format verschickt wurden, wurden offenbar parallel dazu auch unverschlüsselt mitversendet. Diese Sicherheitslücke existiert seit mindestens 6 Monaten (genaue Informationen sind noch ausstehend).

Obwohl die Auswirkungen auf die Vertraulichkeit durchaus kritisch sein können, kann für Unternehmen teilweise Entwarnung gegeben werden:

    1. In den allermeisten Firmenumgebungen mit Outlook, kommt auch Exchange zum Einsatz. In diesem Fall sind die unverschlüsselten Inhalte «nur» auf der Exchange-Infrastruktur oder mit direktem Zugriff auf die Mailbox eines betroffenen Benutzers (Sender oder Empfänger) zugreifbar. Die unverschlüsselten Inhalte der E-Mails werden jedoch offenbar nicht nach aussen (zu externen Empfängern) weitergeleitet und sind damit auch nicht im Internet mitlesbar.
    2. Die Sicherheitslücke betrifft nur E-Mails, welche im “Plain Text”-Format verschickt wurden. HTML-Mails (die Standard-Einstellung) sind offenbar nicht betroffen.
    3. Nach den Informationen von Microsoft beschränken sich die betroffenen Versionen (innerhalb der noch unterstützten) auf Outlook 2016.
    4. Maillösungen, welche ihre Verschlüsselung ausserhalb von Outlook vornehmen (z. B. über eine zentrale Secure Mail Appliance), sind ebenfalls nicht betroffen.

Auf Grund dieser Einschränkungen sollten nach bisherigem Kenntnisstand hauptsächlich Privatanwender von dieser Sicherheitslücke betroffen sein (wenn die Nachrichten über SMTP versendet werden). Unbekannt sind jedoch bisher die Auswirkungen auf Office 365, Outlook.com oder ähnliche Dienste.

Sollten die obenstehenden Kriterien nicht auf Ihr Mailsystem zutreffen, unterstützt Oneconsult Sie gerne bei einer Überprüfung.

Quellen:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-11776
https://www.sec-consult.com/en/blog/2017/10/fake-crypto-microsoft-outlook-smime-cleartext-disclosure-cve-2017-11776/index.html

Published on: 11.10.2017

Share

Never miss the latest news on cyber security topics again? Sign up for our newsletter

Autor

Keine Beschreibung verfügbar.

Don’t miss anything! Subscribe to our free newsletter.

Your security is our top priority – our specialists provide you with professional support.

Availability Monday to Friday 8:00 a.m. – 12:00 p.m. and 1:00 p.m. – 5:00 p.m (exception: customers with SLA – please call the 24/7 IRR emergency number).

Private individuals please contact your trusted IT service provider or the local police station.

For more information about our DFIR services here:

QR_CSIRT_2022_EN@2x
Add CSIRT to contacts