EFAIL – Brisante Lücken in OpenPGP und S/MIME

EFAIL
Bild: Efail | Lizenz: CC0 1.0

 

Eigentlich sollten weitere Details zu den heute Morgen bekannt gewordenen Sicherheitslücken erst morgen früh veröffentlicht werden. Ob der Brisanz der Situation hat das Ganze aber eine Eigendynamik entwickelt. Mittlerweile wurde die Lücke mit dem Namen EFAIL versehen, erhielt ein Logo und eine eigene Webseite. Also ist außer Fanartikeln bereits alles vertreten, was eine Sicherheitslücke, die etwas auf sich hält, heutzutage braucht.

BSI seit Monaten informiert

Wenn aber innerhalb von wenigen Stunden nach Bekanntwerden das Bundesamt für Sicherheit und Informationstechnik  (BSI) mit Verhaltensregeln zur Stelle ist und die Tagesschau in bester Neuland-Manier berichtet, scheint wirklich Gefahr im Verzug zu sein. Was ist also genau passiert? Forscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der Universität zu Leuven in Belgien haben schwerwiegende Schwachstellen in den Verschlüsselungsstandards OpenPGP und S/MIME entdeckt, die in vielen E-Mail-Clients ausgenutzt werden können. Das BSI war bereits seit November 2017 eingebunden.

Der Angriff manipuliert verschlüsselte E-Mails in einer Weise, die es einem Angreifer erlaubt, den vom Empfänger entschlüsselten Text der E-Mail an einen Server unter Kontrolle des Angreifers zu senden. Dazu braucht der Angreifer Zugriff auf den Transportweg der E-Mail, auf den Mailserver oder auf den Rechner des Angegriffenen und somit auf dessen Postfach haben. Das Opfer muss zudem in seinem Mail-Client HTML-Mails und das Nachladen externer Inhalte als active content erlauben.

Trickreiche Manipulation

Die Manipulation einer E-Mail könnte etwa folgendermaßen aussehen: Ein auf dem Transportweg abgefangener verschlüsselter Text wird mit einer Anfrage auf das Nachladen einer Ressource, etwa eines Bildes kombiniert und diese Mail an das Opfer gesendet. Dabei wird der zu entschlüsselnde Text zwischen zwei HTML-Blöcke einbgebettet. Der E-Mail-Client des Opfers entschlüsselt den Textblock und bettet ihn in den HTML-Code ein. Daraufhin wird die im HTML eingebundene URL ausgeführt, die die Anfrage zum Nachladen von externen Inhalten enthält, wodurch der Klartext an den Server des Angreifers versendet wird. Sollte Zugriff auf den Mailserver oder den Rechner des Opfers bestehen, so funktioniert der Angriff auch mit dort liegenden älteren E-Mails.

Verantwortlich dafür, dass diese HTML-Manipulationen funktionieren, sind veraltete Implementationen der Verschlüsselungsmethoden von OpenPGP und besonders bei S/MIME. Die Manipulation per HTML ist aber nur ein Angriffsvektor in einer derzeit etwas unübersichtlichen Situation. Bei S/MIME gibt es auch die Möglichkeit, die Antwortfunktion des [wiki title=”Online_Certificate_Status_Protocol”]OCSP-Protokolls[/wiki] als Rückkanal zu nutzen.

Es gibt zwei verschiedene Arten von EFAIL-Angriffen. Der direkte Exfiltrations-Angriff nutzt Schwachstellen in Apple Mail, iOS Mail und Mozilla Thunderbird aus, um den Klartext verschlüsselter E-Mails direkt zu exfiltrieren.  Der zweite Angriffsvektor nutzt Schwachstellen direkt in der Spezifikation von OpenPGP und besonders von S/MIME aus. Der Angriff auf S/MIME ist vergleichsweise einfach und ein Angreifer kann laut den Tests der Forscher bis zu 500 S/MIME-verschlüsselte E-Mails knacken, indem er eine einzige S/MIME-E-Mail an das Opfer sendet. Bei PGP hat die zweite Methode nur eine Erfolgsquote von einem Drittel, da PGP den Klartext vor der Verschlüsselung komprimiert.

Verschlüsselung abschalten

Derzeit ist der sicherste Weg um sich zu schützen, Erweiterungen zur Mailverschlüsselung in den Mail-Clients abzuschalten und die privaten Schlüssel aus den Clients zu entfernen. Aktualisierungen der E-Mail-Clients sollten zeitnah installiert werden. Verschlüsselte Mails können weiterhin in einer externen Anwendung außerhalb des E-Mail-Clients geöffnet werden.

Das Abschalten von HTML-Funktionalität und das Öffnen von eingehenden HTML-Mails verhindert einige, aber nicht alle Angriffe. Beseitigt wird das zugrundeliegende Problem nur durch eine Anpassung der Standards bei OpenPGP und S/MIME. Dort müssen authentifizierte Verschlüsselungsmethoden implementiert beziehungsweise aktiviert werden. Das wird seine Zeit brauchen.

Die genaue Funktionsweise der Lücke beschreibt ein ausführliches  Papier (PDF) der Forscher.  Werner Koch, der Erfinder von [wiki title=”GNU_Privacy_Guard”] GNU Privacy Guard[/wiki] (GnuPG) äußert sich auf der GnuPG-Mailingliste dahingehend, in Sachen OpenPGP sei die Panikmache vor allem der EFF übertrieben.

Teilt den Beitrag, falls ihr mögt

Abonnieren
Benachrichtige mich bei
3 Kommentare
Most Voted
Newest Oldest
Inline Feedbacks
View all comments