Data: 2018-05-14 Proto: N050518



Figura 1. Schema di attacco EFAIL (Fonte:efail.de) Figura 1. Schema di attacco EFAIL (Fonte:efail.de)

Esfiltrazione diretta, la quale sfrutta debolezze nei client di posta quali Apple Mail, iOS Mail e Mozilla Thunderbird attraverso email multipart appositamente create;

Esfiltrazione basata su CBC/CFB Gadget, la quale sfrutta debolezze degli standard PGP e S/MIME per portare a termine un attacco KPA in grado di alterare il messaggio come descritto.

Windows Outlook 2007 Outlook 2010 Outlook 2013 Outlook 2016 Windows 10 Mail Windows Live Mail The Bat! Postbox eM Client IBM Notes

Linux Thunderbird Evolution Trojita KMail

Mac OS Apple Mail MailMate Airmail

iOS Mail App

Android R2Mail2 MailDroid Nine

Webmail GMail

Webapp Roundcube Horde IMP



Con la presente Yoroi desidera informarLa riguardo alla pubblicazione diall'interno di vari sistemi diend-2-end basati sugli standard PGP e S/MIME. Le criticità sono note con l’alias “ EFAIL ” al quale fanno riferimento i codici CVE-2017-17688 e CVE-2017-17689.Le problematiche in oggetto possono essere sfruttate da un attaccante già in possesso di comunicazioni email cifrate per laattraverso l’abuso di funzionalità presenti nei client di posta, unitamente a lacune negli standard utilizzati. L’attaccante può essere in grado di decorare o modificare i messaggi cifrati intercettati in maniera tale da iniettare codice html all’interno del messaggio di posta originale: re-inviando il messaggio opportunamente modificato all’interlocutore originale, il codice html inserito dall’attaccante viene interpretato ed il testo in chiaro del messaggio può essere esfiltrato tramite richieste HTTP verso destinazioni remote.I ricercatori hanno pubblicato dettagli tecnici sullo sfruttamento della problematica in due principali varianti:Nel dettaglio, risultano afflitte le gestioni di messaggi S/MIME e/o PGP in numerosi client di posta quali:A questo proposito, qualora all'interno della Vostra organizzazione vengano utilizzate tecnologie di cifratura email coinvolte dalla problematica, Yoroi consiglia dipubblicati dai rispettivi manutentori di client di posta ed estensioni per cifratura end-2-end. Yoroi consiglia inoltre di valutare la disabilitazione temporanea del supporto HTML all'interno delle comunicazioni email cifrate.Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber". Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index