Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

EFAIL: attacchi alla cifratura OpenPGP e S/MIME in client Email

EFAIL  Email  OpenPGP  S/MIME   martedì, 15 maggio 2018

Logo EFAILUn gruppo di ricercatori universitari europei ha reso nota l’esistenza di vulnerabilità in client Email che possono essere sfruttate da un attaccante per ottenere il testo in chiaro da messaggi cifrati.

In particolare, i client di posta elettronica che supportano gli standard OpenPGP e S/MIME potrebbero essere vulnerabili ad attacchi di tipo “CBC/CFB gadget” che potrebbero consentire ad un utente malintenzionato in grado di intercettare un messaggio di Email cifrato (ad esempio mediante un attacco di tipo man-in-the-middle) di iniettare contenuto in un messaggio cifrato in modo tale da creare un canale di comunicazione che gli consenta di ottenere il testo decifrato dal client di posta della vittima. Ad esempio, l’inserimento di un tag HTML di tipo immagine (<img>) che, una volta elaborato dal client di posta elettronica, invia il testo in chiaro ad un server controllato dall’attaccante come parte di una richiesta HTTP.

A queste vulnerabilità sono stati assegnati i seguenti codici CVE:

Inoltre, alcuni client di posta elettronica che non isolano le diverse porzioni di un messaggio codificato MIME multipart possono consentire ad un attaccante di inserire un messaggio cifrato all’interno di una porzione di testo in chiaro in modo tale che, una volta che la parte cifrata viene decodificata ed elaborata dal client di posta elettronica, ne risulta direttamente il codice HTML necessario ad inviare il testo in chiaro all’attaccante, eliminando la necessità di eseguire attacchi gadget alla cifratura.

Questi attacchi sono stati battezzati collettivamente col nome EFAIL.

Stando a quanto riportato dagli autori della ricerca, al momento non sono disponibili aggiornamenti specifici o soluzioni immediate per eliminare completamente i rischi derivanti da questi attacchi. Diversi client Email e plugin di cifratura molto diffusi risultano vulnerabili agli attacchi a S/MIME, mentre gli attacchi a OpenPGP sono molto più difficili da realizzare e coinvolgerebbero un numero molto inferiore di client. Un elenco non esaustivo di client e plugin vulnerabili è stato reso pubblicamente disponibile (si vedano le fonti citate in fondo alla news).

Mentre la comunità dei ricercatori e degli sviluppatori sta discutendo in queste ore sulle implicazioni e sul reale impatto di queste vulnerabilità, si suggerisce agli utenti che utilizzano soluzioni di cifratura/decifratura integrate nei propri client Email di adottare le seguenti soluzioni di mitigazione:

  • decifrare i messaggi esternamente al client di posta utilizzando un’applicazione separata;
  • disabilitare il rendering HTML;
  • disabilitare il caricamento di contenuti remoti.

Per maggiori informazioni su questa minaccia, inclusi i dettagli tecnici degli attacchi, è possibile consultare le seguenti fonti esterne (in Inglese):

Notizie correlate

“MailSploit”: numerosi client di Email vulnerabili a spoofing del mittente

6 dicembre 2017

Sono state individuate falle in numerosi client Email, battezzate Mailsploit, che potrebbero essere sfruttate per impersonare mittenti arbitrari aggirando le misure anti-spoofing.Leggi tutto

Nuovo phishing via SMS mira agli account Email

23 giugno 2015

Symantec ha dimostrato un nuovo tipo di attacco di phishing via SMS mirato alla compromissione di account di servizi di posta elettronica online.Leggi tutto