S/MIME hay Secure/Multipurpose Internet Mail Extensions (phần mở rộng thư điện tử an toàn/đa dụng) là giao thức mã hoá end-to-end dựa trên mật mã khoá công khai, hoạt động như các kết nối SSL, cho phép người dùng gửi các tin nhắn mã hoá và ký số.
Theo một cảnh báo an ninh do SEC Consult (công ty tư vấn an ninh mạng và ứng dụng tại Đức) mới công bố, một lỗi nghiêm trọng trong Microsoft Outlook (CVE-2017-11776) khiến thư điện tử mã hoá bằng S/MIME được gửi đi với bản mã hóa và bản rõ đính kèm.
Khi người dùng Microsoft Outlook sử dụng S/MIME để mã hoá tin nhắn và định dạng thư dạng plain text, lỗ hổng sẽ khiến thư được gửi đi bằng cả dạng mã hoá và dạng văn bản rõ. Người dùng không biết được điều đó, vì thư vẫn hiện trong thư mục "Sent Items" của Outlook dưới dạng mã hoá. Khi dữ liệu được truyền từ máy chủ tới máy chủ hay từ máy khách lên máy chủ, tin tặc có thể đọc dữ liệu trên đường truyền dưới dạng văn bản rõ. Theo các nhà nghiên cứu, sự nghiêm trọng của lỗ hổng tuỳ thuộc vào cấu hình Outlook của người dùng:
Nếu dùng Outlook với Exchange, bản rõ của thư mã hoá chỉ chuyển tới điểm tiếp nhận đầu tiên (tức máy chủ Exchange của người gửi), vì khi gửi sang máy chủ Exchange khác, bản rõ được xoá khỏi thư. Tuy nhiên, nếu cả người nhận và người gửi đều thuộc cùng một máy chủ Exchange, thì bản rõ cũng được gửi tới người nhận.
Nếu dùng Outlook với SMTP, bản rõ của thư mã hoá sẽ được gửi tới tất cả các máy chủ thư điện tử trên đường truyền.
Các nhà nghiên cứu phát hiện ra lỗi này từ tháng 5/2017 và đã thông báo cho Microsoft, nhưng chưa nhận được phản hồi. Microsoft đã phát hành bản vá để khắc phục lỗi trong cập nhật an ninh tháng 10/2017, đánh giá lỗi “quan trọng” và cho rằng việc lợi dụng lỗ hổng này là khó xuất hiện trong thực tế. Nhà nghiên cứu bảo mật Kevin Beaumont đã kiểm chứng độc lập và xác nhận về lỗi này. Ông cho rằng lỗi S/MIME của Outlook là hoàn toàn có thể tái tạo lại; lỗi này không cần có sự can thiệp của kẻ tấn công và Microsoft đã đánh giá sai. Người dùng nên vá hệ thống và phần mềm của Microsoft trên thiết bị của mình.
Công Thành
(theo The Hacker News)
07:00 | 24/05/2021
10:00 | 14/05/2024
Bộ Quốc phòng Anh vừa tiết lộ một vụ vi phạm dữ liệu tại hệ thống trả lương của bên thứ ba làm lộ dữ liệu của 272 nghìn quân nhân và cựu chiến binh trong lực lượng vũ trang.
10:00 | 29/03/2024
Một dịch vụ lừa đảo mới có tên là Darcula sử dụng 20.000 tên miền để giả mạo thương hiệu và đánh cắp thông tin xác thực từ người dùng Android và iPhone tại hơn 100 quốc gia thông qua iMessage.
11:00 | 07/02/2024
Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.
14:00 | 16/01/2024
Theo nghiên cứu mới đây của Zimperium (công ty bảo mật di động có trụ sở tại Hoa Kỳ), 29 họ phần mềm độc hại đã nhắm mục tiêu vào 1.800 ứng dụng ngân hàng trên 61 quốc gia vào năm 2023. Nhiều hơn gần gấp 3 lần năm 2022 với 10 dòng phần mềm độc hại nhắm mục tiêu đến 600 ứng dụng ngân hàng. Có thể thấy được sự phát triển và tiện lợi của các ứng dụng ngân hàng trực tuyến, tuy nhiên chúng cũng đi kèm với nguy cơ tiềm ẩn về an toàn thông tin và gian lận tài chính.
Năm 2024, các tác nhân đe dọa được dự báo sẽ tận dụng sức mạnh của trí tuệ nhân tạo (AI) để thực hiện các hoạt động lừa đảo một cách thông minh hơn. Bằng việc sử dụng công nghệ AI tạo sinh, chúng có thể tạo ra các chiến thuật tấn công mới, khó phát hiện và kiểm soát.
16:00 | 18/05/2024