S/MIME hay Secure/Multipurpose Internet Mail Extensions (phần mở rộng thư điện tử an toàn/đa dụng) là giao thức mã hoá end-to-end dựa trên mật mã khoá công khai, hoạt động như các kết nối SSL, cho phép người dùng gửi các tin nhắn mã hoá và ký số.
Theo một cảnh báo an ninh do SEC Consult (công ty tư vấn an ninh mạng và ứng dụng tại Đức) mới công bố, một lỗi nghiêm trọng trong Microsoft Outlook (CVE-2017-11776) khiến thư điện tử mã hoá bằng S/MIME được gửi đi với bản mã hóa và bản rõ đính kèm.
Khi người dùng Microsoft Outlook sử dụng S/MIME để mã hoá tin nhắn và định dạng thư dạng plain text, lỗ hổng sẽ khiến thư được gửi đi bằng cả dạng mã hoá và dạng văn bản rõ. Người dùng không biết được điều đó, vì thư vẫn hiện trong thư mục "Sent Items" của Outlook dưới dạng mã hoá. Khi dữ liệu được truyền từ máy chủ tới máy chủ hay từ máy khách lên máy chủ, tin tặc có thể đọc dữ liệu trên đường truyền dưới dạng văn bản rõ. Theo các nhà nghiên cứu, sự nghiêm trọng của lỗ hổng tuỳ thuộc vào cấu hình Outlook của người dùng:
Nếu dùng Outlook với Exchange, bản rõ của thư mã hoá chỉ chuyển tới điểm tiếp nhận đầu tiên (tức máy chủ Exchange của người gửi), vì khi gửi sang máy chủ Exchange khác, bản rõ được xoá khỏi thư. Tuy nhiên, nếu cả người nhận và người gửi đều thuộc cùng một máy chủ Exchange, thì bản rõ cũng được gửi tới người nhận.
Nếu dùng Outlook với SMTP, bản rõ của thư mã hoá sẽ được gửi tới tất cả các máy chủ thư điện tử trên đường truyền.
Các nhà nghiên cứu phát hiện ra lỗi này từ tháng 5/2017 và đã thông báo cho Microsoft, nhưng chưa nhận được phản hồi. Microsoft đã phát hành bản vá để khắc phục lỗi trong cập nhật an ninh tháng 10/2017, đánh giá lỗi “quan trọng” và cho rằng việc lợi dụng lỗ hổng này là khó xuất hiện trong thực tế. Nhà nghiên cứu bảo mật Kevin Beaumont đã kiểm chứng độc lập và xác nhận về lỗi này. Ông cho rằng lỗi S/MIME của Outlook là hoàn toàn có thể tái tạo lại; lỗi này không cần có sự can thiệp của kẻ tấn công và Microsoft đã đánh giá sai. Người dùng nên vá hệ thống và phần mềm của Microsoft trên thiết bị của mình.
Công Thành
(theo The Hacker News)
07:00 | 24/05/2021
10:00 | 19/08/2024
Công ty an ninh mạng Fortra (Hoa Kỳ) đã đưa ra cảnh báo về một lỗ hổng mới nghiêm trọng được phát hiện trên Windows có thể gây ra hiện tượng “màn hình xanh chết chóc”, đe dọa đến dữ liệu và hệ thống của hàng triệu người dùng.
14:00 | 29/07/2024
Công ty cung cấp dịch vụ Communication APIs Twilio (Mỹ) đã xác nhận rằng một API không bảo mật đã cho phép các tác nhân đe dọa xác minh số điện thoại của hàng triệu người dùng xác thực đa yếu tố Authy, khiến họ có khả năng bị tấn công lừa đảo qua tin nhắn SMS và tấn công hoán đổi SIM.
14:00 | 22/05/2024
Năm 2023, Việt Nam là quốc gia ghi nhận số vụ tấn công mạng để đánh cắp mật khẩu cao nhất Đông Nam Á, trong tổng số hơn 61 triệu vụ tấn công ghi nhận trong năm 2023
14:00 | 10/05/2024
Một lỗ hổng bảo mật mới được phát hiện trong ngôn ngữ lập trình R, có thể bị kẻ tấn công khai thác để tạo tệp RDS (R Data Serialization) độc hại dẫn đến việc thực thi mã tùy ý khi được tải và tham chiếu.
Công ty an ninh mạng Lumen Technologies (Mỹ) cho biết, một nhóm tin tặc Trung Quốc đã khai thác một lỗ hổng phần mềm để xâm nhập vào một số công ty Internet tại Hoa Kỳ và nước ngoài.
14:00 | 05/09/2024