Vulnerabilidades en los clientes de correo electrónico con estándares OpenPGP y S/MIME
Publicado en: 2018
Nivel de peligrosidad: Alto
El Equipo de Respuesta a incidentes del Centro Criptológico Nacional, CCN-CERT, alerta de la publicación de dos vulnerabilidades críticas en los clientes de correoelectrónico que soportan implementaciones OpenPGP y S/MIME.
Vulnerabilidades
Las vulnerabilidades detectadas son las siguientes:
1) CVE-2017-17688 y CVE-2017-17689. Las vulnerabilidades, que han sido comúnmente denominadas como “Efail” (resultado de la unión de las palabras “email” y “fail”), permiten revelar el contenido de los mensajes de correo electrónico cifrados de extremo a extremo con extensiones OpenPGP y S/MIME.
Para que estas vulnerabilidades sean explotables:
1. El destinatario del mensaje ha de disponer de un cliente de correo vulnerable
2. Y además el contenido del mensaje ha de utilizar los estándares OpenPGP o S/MIME.
Un atacante puede obtener un mensaje descifrado abusando de esta vulnerabilidad. Para ello debe haber conseguido previamente una copia del mensaje emitido, modificarlo intercalando fragmentos de código HTML con el texto cifrado original y reenviarlo a la víctima, es decir, al que fuera destinatario del mensaje original.
Las vulnerabilidades son explotadas en el momento en el que el cliente de correo electrónico decide aplicar el formato HTML a la totalidad del mensaje, siempre quela visualización de mensajes HTML y la opción de carga de contenido remoto se encuentren habilitadas. De este modo, el cliente de correo electrónico emitirá automáticamente una solicitud web al atacante que le permita descargar el texto descifrado a través de una ruta URL.
Clientes de correo afectados
9Folders, Inc.
Airmail
Apple
eM Client
Evolution
Flipdog Solutions, LLC
GnuPG
Google
GPGTools
IBM Corporation
KMail
MailMate
Microsoft
Mozilla
Outlook
Postbox, Inc.
R2Mail2
Ritlabs, SRL
Roundcube
The Enigmail Project
The Horde Project
Thunderbird
Trojita
Medidas de mitigación
El CCN-CERT recomienda a los usuarios de clientes de correo electrónico vulnerables, dado que aún no se ha publicado actualización de seguridad que solucione las vulnerabilidades, aplicar las siguientes medidas de mitigación:
Deshabilitar la opción de carga de contenido remoto.
Desactivar la visualización de mensajes en formato HTML en el cliente de correo electrónico.
Desactivar el descifrado automático de los mensajes y utilizar una aplicación independiente de descifrado.
Referencias
Electronic Frontier Foundation
Entradas
