Fake-Verschlüsselung bei Microsoft

Eine Schwachstelle im Bereich S/MIME bei Microsoft Office Outlook hebelt das Prinzip der End-to-End-Verschlüsselung aus. Damit werden vermeintlich sicher verschlüsselte E-Mails als lesbare Postkarte verschickt. „Hier hat die Qualitätssicherung bei Microsoft leider in vollem Umfang versagt. Das hätte jemandem im Hause Microsoft auffallen müssen“, sagt Markus Robin, General Manager, SEC Consult.

In der Praxis wurde über ein Update im Mai 2017 eine hochkritische Sicherheitslücke in der Software ermöglicht. Entdeckt wurde diese im Zuge eines routinemäßigen Sicherheitstests – durchgeführt von den Experten des SEC Consult Vulnerability Labs. Die hochkritische Sicherheitslücke ermöglicht es Angreifern, den verschlüsselten E-Mail-Inhalt in Klartext einzusehen. Noch dazu ohne nennenswerte Schwierigkeiten, da der Klartext gemeinsam mit jeder verschlüsselten Nachricht als „Beipackzettel“ verschickt wird.

SEC Consult hatte im August 2017 das Microsoft Security Response Center (MSRC) kontaktiert. Die Mitarbeiter von Microsoft erkannten und bestätigten die Existenz der kritischen Schwachstelle und teilten mit, das Problem werde behoben.

back to top