Blog
Informative, up-to-date and exciting - the Oneconsult Cybersecurity Blog.

Microsoft Outlook Microsoft Outlook sends supposedly encrypted messages unencrypted

Microsoft yesterday announced in an advisory that a severe security vulnerability exists in Microsoft Outlook. Article in German.

E-Mails, welche per Outlook mit S/MIME verschlüsselt und im “Plain Text”-Format verschickt wurden, wurden offenbar parallel dazu auch unverschlüsselt mitversendet. Diese Sicherheitslücke existiert seit mindestens 6 Monaten (genaue Informationen sind noch ausstehend).

Obwohl die Auswirkungen auf die Vertraulichkeit durchaus kritisch sein können, kann für Unternehmen teilweise Entwarnung gegeben werden:

    1. In den allermeisten Firmenumgebungen mit Outlook, kommt auch Exchange zum Einsatz. In diesem Fall sind die unverschlüsselten Inhalte «nur» auf der Exchange-Infrastruktur oder mit direktem Zugriff auf die Mailbox eines betroffenen Benutzers (Sender oder Empfänger) zugreifbar. Die unverschlüsselten Inhalte der E-Mails werden jedoch offenbar nicht nach aussen (zu externen Empfängern) weitergeleitet und sind damit auch nicht im Internet mitlesbar.
    2. Die Sicherheitslücke betrifft nur E-Mails, welche im “Plain Text”-Format verschickt wurden. HTML-Mails (die Standard-Einstellung) sind offenbar nicht betroffen.
    3. Nach den Informationen von Microsoft beschränken sich die betroffenen Versionen (innerhalb der noch unterstützten) auf Outlook 2016.
    4. Maillösungen, welche ihre Verschlüsselung ausserhalb von Outlook vornehmen (z. B. über eine zentrale Secure Mail Appliance), sind ebenfalls nicht betroffen.

Auf Grund dieser Einschränkungen sollten nach bisherigem Kenntnisstand hauptsächlich Privatanwender von dieser Sicherheitslücke betroffen sein (wenn die Nachrichten über SMTP versendet werden). Unbekannt sind jedoch bisher die Auswirkungen auf Office 365, Outlook.com oder ähnliche Dienste.

Sollten die obenstehenden Kriterien nicht auf Ihr Mailsystem zutreffen, unterstützt Oneconsult Sie gerne bei einer Überprüfung.

Quellen:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-11776
https://www.sec-consult.com/en/blog/2017/10/fake-crypto-microsoft-outlook-smime-cleartext-disclosure-cve-2017-11776/index.html

All Categories
News & Advisories
Pen Tester's Diary
DFIR Analyst's Diary

Published on: 11.10.2017

Share

Never miss the latest news on cyber security topics again? Sign up for our newsletter

Autor

Keine Beschreibung verfügbar.

Related articles

Never want to miss anything again?

Subscribe to our news feed on LinkedIn and register to receive our newsletter.

Sign up for our Newsletter
Privacy Statement

Don’t miss anything! Subscribe to our free newsletter.

Your security is our top priority – our specialists provide you with professional support.

Availability Monday to Friday 8:00 a.m. – 6:00 p.m (exception: customers with SLA – please call the 24/7 IRR emergency number).

Private individuals please contact your trusted IT service provider or the local police station.

  • What and who is affected?
  • Who discovered and reported the incident?
  • How and when was the incident noticed?
  • What did you observe?
  • What are you concerned about in connection with the incident?
  • What actions have already been taken?

For more information about our DFIR services here:

QR_CSIRT_2022_EN@2x
Add CSIRT to contacts