por

Nunca atribuyas a la maldad lo que puede ser explicado por la estupidez

El título de este post es el famoso Principio de Hanlon, y creo que puede explicar muy bien el grave error que ha tenido el programa de correo electrónico Microsoft Outlook que por al menos 6 meses según se ha hecho público ha estado enviando correos encryptados a la vez que envia una copia del mismo en texto plano.

De acuerdo a la firma de consultoría de seguridad informática SEC Consult, desde al menos los últimos 6 meses, los mensajes de correo electrónico enviados en forma encriptada por Microsoft Outlook, también estaban siendo enviados con una copia no encriptada del mismo, exponiendo todas las comunicaciones secretas y sensibles de la empresa a posibles intrusos.

El protocolo S/MIME (Secure/Multipurpose Internet Mail Extensions), es un protocolo de encriptación de extremo a extremo basado en la criptografía de clave pública y que funciona igual que las conexiones SSL, lo que permite a los usuarios enviar mensajes cifrados y encriptados digitalmente.

De acuerdo con un aviso de seguridad publicado por SEC Consult a principios de esta semana, un error grave que ha recibido el código de error CVE-2017-11776, en el cliente de correo electrónico de Microsoft Outlook que hace que los mensajes de correo electrónico encriptados con el protocolo  S/MIME se envíen con sus versiones sin encriptar a la par de la versión encriptada.

Cuando los usuarios de Outlook utilizan S/MIME para cifrar sus mensajes y formatear sus correos electrónicos como texto sin formato, la vulnerabilidad permite que los correos electrónicos aparentemente cifrados se envíen en formularios de texto claro tanto como encriptados, lo cual los hace legibles para los humanos.

Los usuarios no eran conscientes de este problema de seguridad, ya que los mensajes aparecerían como cifrados en la carpeta “Enviados” de la aplicación de Outlook.

La activación de esta vulnerabilidad no requiere una participación activa de un atacante. Es más un atacante podría permanecer completamente pasivo. El impacto de esta vulnerabilidad es muy serio ya que un supuesto correo cifrado S/MIME destinado al envio de información confidencial se puede leer sin las claves privadas del destinatario. Esto resulta en pérdida total de la privacidad proporcionadas por el cifrado.

Los atacantes con acceso a las conexiones no cifradas de servidor a servidor o cliente a servidor podrían aprovechar fácilmente esta vulnerabilidad para leer las comunicaciones de correo electrónico en texto sin formato. Cómo se puede acceder a una comunicación de servidor a servidor o de un cliente a servidor, pues sencillamente escuchando todo el tráfico a través del puerto 25 que es el usado por el protocolo SMTP para envio de correos.

Por lo tanto, si utilizó el cifrado S/MIME de Outlook para correos electrónicos en los últimos 6 meses, sus correos electrónicos no se han cifrado en absoluto; en su lugar, salieron en texto plano.

Según los investigadores, el alcance de la vulnerabilidad depende de cómo se haya configurado Outlook.

En el caso de un Outlook con Exchange en la misma network.

Si está utilizando Outlook con Exchange, la versión de texto sin formato de los correos electrónicos cifrados sólo alcanzará un salto, ya que el envío de correos electrónicos al servidor de correos externo eliminará la parte de texto plano del mensaje.

Pero si el destinatario y el remitente están en el mismo dominio (servidor), la parte de texto plano también se enviará al destinatario. Pero en este caso cómo todo ocurre dentro de la misma empresa, el impacto debería ser limitado.

Si, existe una computadora infectada dentro de la red local de la empresa que colecta información, entonces habría un problema.

Outlook usando SMTP con un servidor externo.

Si está ejecutando Outlook con SMTP, la versión de texto sin formato de los correos electrónicos cifrados no sólo será recibida por el destinatario sino también por todos los servidores de correo a lo largo de la ruta que conectan el servidor de origen con el servidor de destino.

Este es el peor escenario posible de todos. Ya que técnicamente hay millones de correos electrónicos “cifrados” con una copia en texto plano distribuidos alrededor de un número no conocido de servidores SMTP alrededor del mundo.

Los investigadores de la SEC Consult descubrieron el problema en mayo y lo informaron responsablemente a Microsoft, pero no recibieron noticias del gigante de la tecnología. Lo cuál es desconcertante, ya que este es un grave error que compromete la seguridad mayormente de la base de usuarios más importante de Microsoft, los usuarios corporativos.

Microsoft lanzó un parche para corregir el error en el lanzamiento de actualizaciones de seguridad de este mes y calificó el problema como “importante”, alegando que la explotación de esta vulnerabilidad era “improbable” en estado salvaje. Lo cuál realmente nos indica lo desconectados que están de la realidad los ingenieros de Microsoft.

Por lo tanto, si Ud. utilizo el S/MIME de Outlook para encriptar sus correos electrónicos sensibles, se recomienda que actualize el sistema lo antes posible.

Creo que ahora ya pueden comprender porque a este post lo titulé con el famoso Principio de Halon.