Verschillende beveiligingsonderzoekers hebben aangegeven dat gebruikers per direct moeten stoppen met het gebruik van de plug-ins als zij zeer gevoelige communicatie versleutelen met deze technieken. Ook de EFF zegt dat het beter is de tools voorlopig niet te gebruiken.
"Ons advies, wat gelijk is aan dat van de onderzoekers, is om tools die automatisch PGP-versleutelde mail ontsleutelen uit te schakelen of te deïnstalleren," aldus de EFF. Het bedrijf noemt expliciet dEnigmail voor Thunderbird, GPGTools voor Apple Mail en Gpg4win voor Outlook.
Geen Patch
Er is helaas nog geen patch of workaround voorhanden en daarom wordt dus aangeraden de tools (voorlopig) niet meer te gebruiken.
Schinzel liet in een tweet weten morgen met meer informatie naar buiten te komen over de kwetsbaarheid, maar aangezien iemand het embargo vroegtijdig heeft gebroken heeft de onderzoeker de details vandaag al online geplaatst.
EFAIL
De aanval, EFAIL genoemd, kan op twee verschillende manieren worden uitgevoerd. In de eerste manier voegt een aanvaller een incomplete image-tag (die verwijst naar een externe locatie) toe voor het bericht. Aan het einde van het versleutelde bericht voegt de aanvaller de rest van de tag toe waardoor het hele bericht wordt gezien als een afbeelding. Dit aangepaste bericht wordt doorgestuurd naar het slachtoffer en de client ontsleutelt het bericht. Doordat het bericht onderdeel is van een nep-afbeelding op een externe locatie wordt de volledige ontsleutelde inhoud verstuurd naar de externe locatie.
© Efail.de
De tweede manier waarop aanvallers misbruik kunnen maken van de techniek is door CBC gadgets te manipuleren. Hiervoor moet een aanvaller wel weten welke woorden er van tevoren in platte tekst in een versleutelde mail zitten, maar aangezien praktisch elk S/MIME-bericht begint met : "Content-type: multipart/signed", is dat niet al te moeilijk. Door enkele platte tekst-blokken te manipuleren en op deze manier nullen in te voeren, kan er een incomplete afbeeldingstag worden geïnjecteerd die pas aan het einde van het versleutelde bericht wordt gesloten waardoor alles binnen deze tag als platte tekst wordt "teruggestuurd" naar de locatie waar de tag naar toe wijst.
© Efail.de
Workarounds
Hoewel de onderzoekers afraden de plug-ins/clients te gebruiken totdat er een patch voorhanden is, zijn er wel wat workarounds die kunnen worden toegepast:
Zorg ervoor dat ontvangen e-mails niet worden ontsleuteld door de client, maar dat de inhoud wordt gekopieerd en geplakt in een andere applicatie die vervolgens de inhoud ontsleutelt.
Schakel HTML rendering uit (op die manier kunnen image-tags niet worden misbruikt).
Het is nog niet bekend wanneer er een patch voorhanden is.
Stop met het gebruiken van brakke MUA's dus.
En met HTML mail
Reageer
Preview