Forscher finden Schwachstellen in E-Mail-Signaturprüfung

Lesezeit ca: 2 MinutenWerbung:

Ort Bonn
Datum 30.04.2019

Sicherheitsforscher der Fachhochschule Münster und der Ruhr-Universität Bochum haben Schwachstellen in den Implementierungen der weitverbreiteten E-Mail-Verschlüsselungsstandards S/MIME und OpenPGP gefunden und das Bundesamt für Sicherheit in der Informationstechnik (BSI) darüber im Rahmen eines Coordinated-Vulnerability-Disclosure-Prozesses informiert. Die Schwachstellen ermöglichen Angreifern die Veränderung von E-Mails, so dass die Authentizität und Integrität einer Nachricht beim Empfänger nicht sichergestellt werden kann. Die Entwickler von E-Mailclientsoftware wurden vor der Veröffentlichung informiert und haben Updates zur Verfügung gestellt. Die genannten E-Mail-Verschlüsselungsstandards können daher nach Einschätzung des BSI weiterhin sicher eingesetzt werden, sofern sie wie folgt konfiguriert sind:

  • Die E-Mailclientsoftware muss durch regelmäßige Updates auf dem aktuellsten Stand gehalten werden
  • Aktive Inhalte im E-Mailclient müssen deaktiviert werden. Dazu zählt die Ausführung von HTMLCode und das Nachladen externer Inhalte, die oftmals aus Design-Aspekten erlaubt sind

Die vorliegenden Schwachstellen betreffen die Signaturprüfung, jedoch nicht die Signaturerstellung. Der Beweiswert der signierten E-Mail selbst wird somit nicht beeinträchtigt. Das BSI hat bislang keine Kenntnis darüber, dass entsprechende Manipulationen von Angreifern bereits durchgeführt wurden.
Zur Ausnutzung der gefundenen Schwachstellen nutzten die Sicherheitsforscher verschiedene Angriffsmethoden. Dabei werden alte signierte E-Mails erneut verwendet und sogenannte Injection-Angriffe durchgeführt, fehlerhafte Implementierungen von OpenPGP und S/MIME aufgrund der Komplexität ausgenutzt sowie Mail Header manipuliert. Bei aktiviertem HTML / CSS kann die Anzeige der Auswertung von Signaturen in der Benutzeroberfläche manipuliert werden.

Coordinated Vulnerability Disclosure

Das BSI ist seit März 2019 durch das Forscherteam in den sogenannten Coordinated-Vulnerability-Disclosure-Prozess eingebunden worden. Dieser dient dazu, Herstellern die Möglichkeit zu geben, Patches für gefundene Schwachstellen zu entwickeln, bevor diese Schwachstellen öffentlich werden. Dies reduziert die Zeitspanne deutlich, in der Angreifer neue Schwachstellen ausnutzen können. Das BSI nimmt hierbei eine neutrale und unterstützende Rolle ein, die Hoheit über den Prozess liegt bei den Findern der Schwachstellen.

Pressekontakt:

Bundesamt für Sicherheit in der Informationstechnik
Postfach 200363
53133 Bonn
Telefon: +49 228 99 9582-5777
Telefax: +49 228 99 9582-5455
E-Mail: presse@bsi.bund.de
Werbung:
Die neuesten Produkte auf dem Marktplatz von Einkaufen-in-Vs.de
(Visited 2 times, 1 visits today)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.