2426240

"Johnny, you are fired“: Sicherheitslücke der E-Mail-Signierung vorgestellt

02.05.2019 | 17:27 Uhr | Stephan Wiesend

Ein Angriff auf die Signaturprüfung vieler E-Mail-Clients möglich, Forscher konnten dadurch signierte Nachrichten vortäuschen.

Eine Anfälligkeit für das Vortäuschen von gültigen Signaturen (Email Signature Spoofing Attatcks) haben nun Forscher der Fachhochschule Münster und der Ruhr-Universität Bochum vorgestellt, viele davon haben bereits die eFail -Angriffsmethoden vorgestellt.

Eine digitale Signatur in einer E-Mail soll dem Empfänger eine E-Mail beweisen, dass die Nachricht von einem bestimmten Absender stammt und nicht verändert wurde: Sie beweist, dass ein sensibler Geschäftsbericht wirklich von der geheimen Quelle des Journalisten kommt oder die Kündigung-Mail wirklich vom Vorgesetzten. Die Prüfung der Signatur ließ sich bei vielen E-Mail-Clients auf die eine oder andere Methode überlisten, wie die Forscher Sebastian Schinzel, Marcus Brinkmann, Jörg Schwenk, Juraj Somorovsky, Damian Poddebniak und Hanno Bock nachweisen. Bei 22 E-Mail-Programmen gelang es die S/MIMe-Prüfung und bei 14 von 20 Programmen die Signaturprüfung von PGP überlisten. Betroffen waren davon unter anderem Apple Mail mit GPG Suite, Mail Mate und Airmail betroffen, ebenso die iOS-Version von Mail und der Mail-Client von Windows 10. Die Entwickler der betroffenen Programme wurden bereits informiert und haben mittlerweile Sicherheitsupdates veröffentlicht.

Was man nicht verwechseln darf: Die Verschlüsselungstechnologien OpenGPG und S/MIME wurden dabei nicht „geknackt“, nur die E-Mail-Clients ausgetrickst bzw. Fehler der Integration ausgenutzt. Überlisten konnten die Forscher die Programme mit S/MIME unter anderem durch das Einbetten einer zweiten signierten Nachricht. Die Nachricht ohne gültige Signatur wird dann angezeigt, die signierte zweite Nachricht sorgt dann für die Anzeige einer gültigen Signatur.  Bei den per GnuPG geschützten Tool gelang es dagegen, nur einen Teil der Nachricht zu signieren, der restliche Teil der Nachricht konnte gefälscht werden. Möglich war dies etwa durch Einbetten eines Nachrichtenteils in einer HTML-Mail.

Auch Mac-Clients sind betroffen,
Vergrößern Auch Mac-Clients sind betroffen,

Für diesen Angriff muss zwar vorher eine signierte Nachricht abgefangen werden, für Staaten und auch Unternehmen wohl durchaus möglich. Weitere Angriffsmöglichkeiten wurden ebenfalls nachgewiesen, so gelang es, die E-Mail eines unverdächtigen Dritten so anzuzeigen, als hätte diese sie signiert, obwohl sie in Wirklichkeit durch einen Angreifer signiert wurde. Betroffen waren in unterschiedlicher Schwere zahlreiche Clients der Systeme Windows, Linux, macOS, Android, iOS und Web-Clients, keine Angriffsmöglichkeit bot anscheinend der Webclient IMP der Groupware Horde. Dies bliebt übrigens nicht ohne Widerspruch, so ist laut den Entwicklern des Plug-ins GPG4Win ihr Tool nicht betroffen .

Das Bundesamt für Sicherheit in der Informationstechnik hat die Sicherheitslücke bestätigt und empfiehlt ein Update der betroffenen E-Mail-Clients. Auch die Anzeige aktiver Inhalte inklusive HTML sollte deaktiviert werden, ebenso das Nachladen externe Inhalte. Der komplette Bericht wurde auf Github veröffentlicht.

Macwelt Marktplatz

2426240