无需恐慌efail攻击
德国和比利时研究人员警告说,通过强制客户端将客户发送到攻击者的全文,使用相当良好的隐私(PGP)和安全的多功能互联网邮件扩展(S / MIME)来打破电子邮件加密的潜在攻击。
PGP和S / MIME加密由组织使用,因为两者都在电子邮件通信中添加了一层额外的安全性,如果正确使用,这两种技术也保证了电子邮件的机密性和真实性,即使攻击者是否已完全访问电子邮件帐户。
研究人员表示,“EFAIL”描述了OpenPGP和S / MIME中的漏洞,泄露了加密电子邮件的明文。
曾在Münster应用科学大学运营IT安全实验室的研究人员塞巴斯蒂安·施塞之一,推文:“目前没有可靠的漏洞修复。如果您使用PGP / GPG或S / MIME进行非常敏感的通信,您现在应该在电子邮件客户端中禁用它。“
该研究还提示了电子自由基础(EFF)发出警告,即通过利用该漏洞,可以通过利用漏洞来公开发送的加密消息。
EFF还建议用户停止使用PGP / GPG加密,直到这些问题更广泛地理解和修复,提供了如何在电子邮件客户端中禁用PGP / GPG(GNU Privacy Guard)加密插件的链接。
用户应安排使用替代端到端安全通道,例如信号,EFF在博客文章中说。
总之,研究人员表示,EFail攻击滥用HTML电子邮件的活动内容 - 例如,外部加载的图像或样式 - 通过请求的URL来删除明文。
虽然这听起来很惊人,但研究人员承认要创建这些exfiltration频道,攻击者首先需要访问加密电子邮件,例如,通过窃听网络流量,损害电子邮件帐户,电子邮件服务器,备份系统或客户端计算机。
然后,攻击者将以特定方式更改加密电子邮件,并将此更改的加密电子邮件发送给受害者。受害者的电子邮件客户端解密电子邮件并加载任何外部内容,从而将明文删除到攻击者。
虽然该袭击是“Sneaky”,但独立的安全顾问Graham Cluley Isone,他们已经表示逾越绳攻击的重要性和严重程度。
研究人员明确说明:“eFail攻击需要攻击者可以访问您的S / MIME或PGP加密电子邮件。因此,您只会影响攻击者是否已访问您的电子邮件。“
据Cluley表示,这一事实使得这些新发现的漏洞的漏洞不太可能存在风险。
“如果恶意黑客已经访问了您的电子邮件服务器,网络等,那么可能一切糟糕的方式和更少的卷曲事物,他们可以做到让您的生活成为痛苦,窃取秘密并摧毁您的隐私,”他写道博客帖子。
Cluley还强调的是,BecauseeFail攻击依赖于过去的加密电子邮件被发送到目标,它是一种可见和明显的攻击方法,可以使用扫描信息的脚本来容易地识别用于格式错误的IMG标签。
Cluley是若干安全专家,他们指出了EFail在使用的PGP / GPG中的任何固有弱点中,因为它利用尚未告诉他们的电子邮件客户端停止自动呈现的远程或外部内容的用户。
研究人员呼吁更新MIME,S / MIME和OpenPGP标准,称EFAIL攻击利用这些标准中的缺陷和未定义的行为。
Cluley还指出,它不是一个新的问题 - 自2000自2000以来,尝试显示损坏的S / MIME消息的邮件客户端的根问题。
根据Cluley的说法,EFail对PGP / GPG的用户完全禁用它,这不是一个好理由。但是,他确实指出,有替代的端到端加密消息解决方案,不面临同样的挑战。
虽然EFail不是恐慌的理由,但建议组织保留所有电子邮件客户,并使用最新的安全修补程序更新。Cluley表示,组织还应考虑禁用远程内容的渲染,直到解决问题,防止自动解密电子邮件并要求用户手动请求解密,从而通过活动内容减少数据泄漏的机会。
研究人员声称他们已经向国际计算机紧急审计团队(证书),GNU PG开发人员和受影响的供应商披露了他们的调查结果,这些团队已经申请(或正在申请)对策。
“请注意,通常,这些对策是特定的修补程序,我们不能排除将找到与进一步的背板或exfilteration的扩展攻击,”他们说。
研究人员还警告说,即使所有的Backhannels都关闭,仍然易于攻击攻击者可以将电子邮件内容(将恶意代码注入所述附件中的攻击),该附件在电子邮件客户端以外的上下文中执行。