Big Brother Awards
quintessenz search  /  subscribe  /  upload  /  contact  
/q/depesche *
/kampaigns
/topiqs
/doquments
/contaqt
/about
/handheld
/subscribe
RSS-Feed Depeschen RSS
Hosted by NESSUS
<<   ^   >>
Date: 2002-02-27

MS-Exchange unterlaeuft Krypto


-.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.-

Was wollen wir alle gerade nicht sein? Richtig: Microsoft Product Manager,
die aller Welt "Trustworthy Computing" propagieren müssen, während die
alten "Features" dieses systematisch unterlaufen.

-.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.-

Christiane Schulzki-Haddouti
Die Verschlüsselung von E-Mail in Firmennetzen läuft ins Leere, wenn sie in
einer Umgebung mit Microsofts Exchange/Outlook 9x/200x stattfindet. In
einer POP3/IMAP4- Umgebung ist dies nicht der Fall. Wie Microsoft
gegenüber heise online bestätigte, werden mit Krypto-Plug-ins verschlüsselte
Dateianhänge zwischen dem Client und dem Server unverschlüsselt
übertragen, selbst wenn im Plug-in die Verschlüsselung aktiviert ist.

Das Problem besteht darin, dass ein Datei-Anhang über das RPC-Protokoll
(Remote Procedure Call) sofort an den Server übertragen wird, sobald der
Nutzer eine vertrauliche E-Mail erstellt und eine Datei angehängt hat --
unabhängig davon, ob das Plug-In für die Verschlüsselung aktiviert ist. Auch
die Option innerhalb des E-Mail-Programms Outlook "Save Drafts" hat darauf
keinen Einfluss. Stellt der Nutzer die E-Mail fertig und drückt den Sende-
Knopf, aktiviert Outlook zwar wunschgemäß das Plug-in und die Mail samt
Anhang wird verschlüsselt. Doch zuvor wurde der unverschlüsselte Anhang
bereits übermittelt. Entdeckt werden kann das Problem mit Hilfe eines
Netzwerk-Sniffers.

Die Aktivierung der RPC-Standardverschlüsselung wäre der einzige Schutz,
doch diese beträgt bei manchen Versionen nur 40 Bit -- diese gelten jedoch
als unsicher. Microsoft bestätigte, dass diese Daten nur RPC-kodiert und
nicht verschlüsselt sind, wenn die Leitung zum Server an dieser Stelle nicht
verschlüsselt ist.

Ein Microsoft-Mitarbeiter erklärte gegenüber heise online, dass rund die
Hälfte der Hersteller von Kryto-Plug-ins betroffen seien; beispielsweise PGP
und die meisten Sphinx-Produkte sind anfällig. Experten vermuten allerdings,
dass nahezu alle marktgängigen Krypto-Plug-ins betroffen sind. Diskutiert
wird das Problem seit Januar beim Forum of Incident Response and Security
Teams (FIRST), jedoch bislang ohne Ergebnis.

Microsoft teilte heise online auf Rückfrage mit, dass der Vorgang "nach
Analyse technischer Details nicht" als "Sicherheitslücke in der MS
Exchange/Outlook 9x/200x Umgebung" zu bezeichnen sei. Die
"automatische MAPI-RPC basierte potenziell unverschlüsselte Übertragung
von E-Mail-Daten" nehme Outlook "aus Performance-Gründen im Bereich
eines geschützen Netzwerkes standardmäßig vor". Eine Exchange/Outlook-
Umgebung könne bei der Übertragung größerer Datenmengen Client-
Applikationen blockieren. Deshalb nehme Outlook aus Performance-Gründen
ein "proaktives Hintergrund-Speichern" der schon vorhandenen Daten im
jeweiligen Nachrichtenspeicher vor. Diese "Optimierung" sei "auf vielfachen
Outlook-Benutzerwunsch" eingeführt worden, um die Benutzung des
Programmes im Exchange-Server Umfeld zu optimieren.

Microsoft wies darauf hin, dass das Outlook-Objektmodell, welches zur
Programmierung von Plug-ins benutzt werden sollte, den Plug-in-Herstellern
Möglichkeiten biete, die automatische Hintergrund-Übertragung zu
unterbinden, sodass Daten verschlüsselt werden, bevor sie den lokalen PC
verlassen. Ein betroffener Hersteller sei hierüber von der Microsoft-Service-
Abteilung aufgeklärt worden und erörtere nun ein Redesign seines Produktes.
Gegenüber heise online bestritt die betroffene Firma, die namentlich nicht
genannt werden wollte, dies jedoch. Sie erwarte, dass Microsoft das
Übertragungsverhalten ändere und nicht ein aufwendiges Redesign der Plug-
ins verlange.
Source
http://www.heise.de/newsticker/data/pab-26.02.02-000/




-.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.-

- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.-
edited by Harkank
published on: 2002-02-27
comments to office@quintessenz.at
subscribe Newsletter
- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.-
<<   ^   >>
Druck mich

BigBrotherAwards


Eintritt zur Gala
sichern ...



25. Oktober 2023
#BBA23
Big Brother Awards Austria
 CURRENTLY RUNNING
q/Talk 1.Juli: The Danger of Software Users Don't Control
Dr.h.c. Richard Stallman live in Wien, dem Begründer der GPL und des Free-Software-Movements
 
 !WATCH OUT!
bits4free 14.Juli 2011: OpenStreetMap Erfinder Steve Coast live in Wien
Wie OpenStreetMaps die Welt abbildet und was ein erfolgreiches Crowdsourcing Projekt ausmacht.