Lỗ hổng MS Outlook khiến bản rõ của thư mã hoá bằng S/MIME được gửi đi
S/MIME hay Secure/Multipurpose Internet Mail Extensions (phần mở rộng thư điện tử an toàn/đa dụng) là giao thức mã hoá end-to-end dựa trên mật mã khoá công khai, hoạt động như các kết nối SSL, cho phép người dùng gửi các tin nhắn mã hoá và ký số.
Theo một cảnh báo an ninh do SEC Consult (công ty tư vấn an ninh mạng và ứng dụng tại Đức) mới công bố, một lỗi nghiêm trọng trong Microsoft Outlook (CVE-2017-11776) khiến thư điện tử mã hoá bằng S/MIME được gửi đi với bản mã hóa và bản rõ đính kèm.
Khi người dùng Microsoft Outlook sử dụng S/MIME để mã hoá tin nhắn và định dạng thư dạng plain text, lỗ hổng sẽ khiến thư được gửi đi bằng cả dạng mã hoá và dạng văn bản rõ. Người dùng không biết được điều đó, vì thư vẫn hiện trong thư mục "Sent Items" của Outlook dưới dạng mã hoá. Khi dữ liệu được truyền từ máy chủ tới máy chủ hay từ máy khách lên máy chủ, tin tặc có thể đọc dữ liệu trên đường truyền dưới dạng văn bản rõ. Theo các nhà nghiên cứu, sự nghiêm trọng của lỗ hổng tuỳ thuộc vào cấu hình Outlook của người dùng:
Nếu dùng Outlook với Exchange, bản rõ của thư mã hoá chỉ chuyển tới điểm tiếp nhận đầu tiên (tức máy chủ Exchange của người gửi), vì khi gửi sang máy chủ Exchange khác, bản rõ được xoá khỏi thư. Tuy nhiên, nếu cả người nhận và người gửi đều thuộc cùng một máy chủ Exchange, thì bản rõ cũng được gửi tới người nhận.
Nếu dùng Outlook với SMTP, bản rõ của thư mã hoá sẽ được gửi tới tất cả các máy chủ thư điện tử trên đường truyền.
Các nhà nghiên cứu phát hiện ra lỗi này từ tháng 5/2017 và đã thông báo cho Microsoft, nhưng chưa nhận được phản hồi. Microsoft đã phát hành bản vá để khắc phục lỗi trong cập nhật an ninh tháng 10/2017, đánh giá lỗi “quan trọng” và cho rằng việc lợi dụng lỗ hổng này là khó xuất hiện trong thực tế. Nhà nghiên cứu bảo mật Kevin Beaumont đã kiểm chứng độc lập và xác nhận về lỗi này. Ông cho rằng lỗi S/MIME của Outlook là hoàn toàn có thể tái tạo lại; lỗi này không cần có sự can thiệp của kẻ tấn công và Microsoft đã đánh giá sai. Người dùng nên vá hệ thống và phần mềm của Microsoft trên thiết bị của mình.
Công Thành
(theo The Hacker News)