Treceți la conținutul principal

Actualizarea Fedora 43 a dezvăluit o eroare de securitate Outlook veche de 20 de ani

 

Da, actualizarea Fedora 43 a adus o revelație interesantă pentru toți utilizatorii Outlook - una de care Microsoft probabil nu va fi încântat. Outlook nu cripta conexiunile de e-mail, chiar dacă SSL/TLS era în mod clar activat în setările contului. Se pare că eroarea respectivă datează cel puțin din Outlook 2007, care este cea mai veche versiune de Outlook despre care am fost informat.

Să începem cu începutul

La fiecare șase luni, serverele Fedora necesită și se actualizează la următoarea versiune. După cum știți cu toții, 😉în luna mai a trebuit să facem upgrade de la versiunea 42 la 43, iar în cadrul acestui upgrade, serverul Dovecot POP/IMAP a trecut la versiunea 2.4.3. Dovecot ne-a făcut tuturor o favoare neașteptată, deoarece a necesitat o rescriere completă a configurației serviciului utilizat, deoarece nu este compatibil cu versiunile anterioare. Această modificare a introdus o nouă paradigmă: parolele PLAIN TEXT nu mai sunt permise prin conexiuni necriptate.

Aceasta este o diferență majoră față de cele mai vechi RFC-uri (de exemplu, RFC 1081) în ceea ce privește comportamentul POP3, dar una bună, în opinia mea. Nimeni nu ar trebui să utilizeze conexiuni necriptate la nicio formă de serviciu pe internet, când avem la îndemână protocoale de criptare ușor de utilizat, cum ar fi STARTTLS (STLS), în orice client major.

Ziua de după

După actualizare, „noi” (administratorii și clienții) nici măcar nu știam despre mecanismul de autentificare, acum defect. Acest lucru s-a întâmplat o zi mai târziu, când clienții au început să sune la linia de asistență pentru că apăreau solicitări care le cereau să introducă din nou parolele. Acesta este un comportament normal dacă autentificarea eșuează... și a eșuat grav.😉

După cum știu toți administratorii, astfel de actualizări vor duce la un număr mai mare de apeluri la asistență. Spre surprinderea mea, toți clienții Outlook au apelat. Cea mai veche versiune de până acum a fost Outlook 2007. Am avut chiar și un Outlook mai vechi cu MACOS :-). Toate aveau în comun faptul că preferințele cutiei de e-mail aveau activată opțiunea „SSL/TLS”, dar foloseau portul 110, care este vechiul port cleartext pentru POP3, unde portul 995 este portul SSL corect. Un client de e-mail normal ar schimba numărul portului în 995 imediat ce activați criptarea SSL/TLS. Acest lucru se datorează faptului că nu puteți „pronunța” SSL pe un port non-SSL, cu excepția cazului în care alegeți STARTTLS. Aceasta începe ca o conexiune cleartext, dar se actualizează ulterior la criptare SSL.

„Uite, e ceva acolo!”

Outlook a făcut cea mai proastă mișcare pe care o poți face ca aplicație cu securitate sporită. A ignorat în mod silențios opțiunea SSL aleasă și a folosit portul necriptat 110 fără a notifica utilizatorul. După actualizarea serverului nostru, a apărut următorul mesaj:

Versiunea în germană a mesajului de eroare

-ERR [AUTH] Autentificarea în text clar nu este permisă pentru conexiunile nesecurizate (SSL/TLS).„apăreau mesajele dacă încercai să deschizi inbox-ul. Jurnalele serverului au arătat clar acest lucru: utilizatorul a folosit o conexiune nesecurizată și a primit corect acest mesaj. Acest lucru nu a fost observat, deoarece GDPR-ul UE prevede doar că corporațiile și organizațiile trebuie să își protejeze datele printr-o criptare de transport, cum ar fi TLS. Persoanele obișnuite nu trebuie să facă acest lucru.”

Chiar și unii dintre oamenii notabili de pe Fedora nu foloseau criptarea, lucru pe care personal îl sfătuiesc să îl schimbe imediat. Având în vedere acest lucru, cine suntem noi să judecăm dacă vă criptați conexiunea sau nu?😉

Serios, oameni buni: folosiți criptarea TLS pentru cutiile voastre poștale!

Puteți verifica cu ușurință dacă criptarea TLS funcționează. Trimiteți-vă un e-mail și deschideți anteturile e-mailului, veți găsi linii de genul:

Received: from bastion01.fedoraproject.org ([38.145.32.11] helo=bastion.fedoraproject.org)
by s113.resellerdesktop.de with esmtps (TLS1.3) tls TLS_AES_256_GCM_SHA384
(Exim 4.99.2)
(envelope-from <updates@fedoraproject.org>)

Orice MTA bun (Exim, Postfix etc.) va nota dacă conexiunea a fost criptată sau nu.

Dacă nu vedeți o notificare de criptare, puteți utiliza această comandă:

tcpdump -A -n -n portul 110 sau portul 143

într-un terminal rădăcină și vedeți dacă portul necriptat este utilizat pentru transport. Dacă da, dacă este text clar sau dacă folosește STLS.

Deci... MULȚUMESC Fedora 43 și Dovecot 2.4... ați dezvăluit o eroare de securitate veche de 20 de ani în Outlook \o/

Declinare de responsabilitateEste posibil ca MS să fi aplicat în trecut patch-uri la interfața Outlook, astfel încât doar conturile vechi să fie afectate de această eroare majoră. Ca utilizatori Fedora, nu aveam Outlook disponibil pentru a testa acest lucru.😉

Sursă: https://marius.bloggt-in-braunschweig.de/2026/06/03/outlook-hat-emailverbindung-nicht-verschluesselt/

Etichete:

Comentarii

Trimiteți un comentariu

Postări populare de pe acest blog

World Monitor – Un panou de inteligență globală în timp real, alimentat de IA, disponibil pentru Linux și web

  Într-o lume marcată de conflicte geopolitice, tensiuni economice și supraîncărcare informațională, accesul la date precise și actualizate în timp real devine o necesitate nu doar pentru agențiile de inteligență, ci și pentru cetățenii obișnuiți. World Monitor , o aplicație open-source dezvoltată pentru Linux, Windows și macOS, precum și pentru browserele web moderne, promite să redefinească modul în care monitorizăm evenimentele globale. Această platformă, disponibilă și în format AppImage pentru Linux, agregă știri, date geopolitice, monitorizare a infrastructurii critice și analize financiare într-o interfață unificată, alimentată de inteligență artificială. Ce este World Monitor? World Monitor este mai mult decât o simplă hartă interactivă: este un panou de inteligență globală în timp real , care unifică monitorizarea geopolitică, urmarirea infrastructurii critice și agregarea știrilor într-un singur ecran de înaltă densitate informațională. Dezvoltată sub licența AGPL-3.0, pl...
Trimiteți un comentariu
Citiți mai multe

Kali GPT: asistentul AI care transformă pentesting‑ul

  Editorial de: Elena Marinescu, Penguin Reviews Într‑o mișcare revoluționară pentru comunitatea de securitate cibernetică, XIS10CIAL a lansat Kali GPT , un asistent AI conceput special pentru Kali Linux, bazat pe GPT‑4, care integrează inteligența artificială direct în terminal, redefinind modul în care se realizează testele de penetrare . 🔍 Ce aduce Kali GPT? Integrare în terminalul Kali – Kali GPT înțelege comenzi în limbaj natural, generează payloads, interpretează scanări Nmap, configurează Metasploit și explică tool‑uri precum Burp Suite, fără să părăsești shell‑ul . Asistent contextual – adaptează răspunsurile în funcție de nivel (începători vs. experți), oferind explicații simplify sau tehnice avansate . Automatizare AI – generează comenzi, script‑uri și payloads, reduce erorile umane și accelerează ciclul pentesting‑ului . Beneficii clare Productivitate sporită – reducerea semnificativă a timpului de research și documentare Învățare accelerată – e...
Trimiteți un comentariu
Citiți mai multe

Containerizare nativă pe macOS: Apple lansează propriul „Distrobox”

  Editorial de: Andrei Popescu, Penguin Reviews În cadrul Conferinței Globale a Dezvoltatorilor (WWDC25), Apple a prezentat „Containerization” – un nou framework open‑source care aduce pe macOS, bazat pe Apple Silicon, un mecanism performant și sigur pentru rularea distribuțiilor Linux in containere, similar ideii de Distrobox sau WSL . 🔹 Ce este Containerization? Framework în Swift : scris integral într-un limbaj modern, se bazează pe Virtualization.framework și rulează fiecare container Linux într‑o mașină virtuală ultra‑ușoară , asigurând izolare completă la nivel de kernel . Performanţă ridicată : containerele pornesc în câteva milisecunde, folosind dinamic doar resursele necesare, datorită accelerării hardware oferite de cipurile ARM Apple . Protecție avansată : fiecare container rulează separat, eliminând riscurile asociate scăpărilor de procese între medii sau către sistemul gazdă . 🛠 Funcționalități cheie Funcționalitate Detalii Imagini OCI standard Compatibile c...
Trimiteți un comentariu
Citiți mai multe