Waspadalah, Jika kamu menggunakan protokol S/MIME melalui Microsoft Outlook untuk mengenkripsi komunikasi email.
Paling tidak dari 6 bulan terakhir, pesan yang kamu kirim dalam bentuk terenkripsi ternyata tidak terenkripsi, memperlihatkan semua komunikasi rahasia dan sensitif kepada calon penyadap.
S/MIME, atau Secure/Multipurpose Internet Mail Extensions, adalah protokol enkripsi end-to-end – berdasarkan kriptografi kunci publik dan bekerja seperti koneksi SSL – yang memungkinkan pengguna mengirim pesan yang ditandatangani dan dienkripsi secara digital.
Menurut sebuah advisory keamanan yang diterbitkan oleh SEC Consult awal minggu ini, sebuah bug yang parah (CVE-2017-11776) pada klien email Microsoft Outlook menyebabkan email terenkripsi S/MIME dikirim dengan versi yang tidak terenkripsi.
Ketika pengguna Outlook menggunakan S/MIME untuk mengenkripsi pesan mereka dan memformat email mereka sebagai teks biasa, kerentanan tersebut memungkinkan email yang tampaknya dienkripsi dikirim baik dalam bentuk teks jelas maupun yang dapat dibaca manusia, para periset menjelaskan.
Pengguna tidak akan menyadari masalah keamanan ini, karena pesan akan muncul seperti yang dienkripsi di folder “Item Terkirim” dari aplikasi Outlook.
“Untuk memicu kerentanan, tidak ada keterlibatan aktif oleh penyerang yang dibutuhkan. Penyerang mungkin tetap pasif sepenuhnya,” kata periset.
“Dampaknya adalah bahwa email terenkripsi S/MIME bisa dibaca tanpa kunci pribadi penerima. Hal ini mengakibatkan hilangnya keamanan yang disediakan oleh enkripsi S/MIME.”
Jadi jika kamu menggunakan enkripsi S/MIME Outlook untuk email dalam 6 bulan terakhir, email kamu belum dienkripsi sama sekali; Sebagai gantinya, mereka keluar dengan teks biasa.
Menurut para peneliti, cakupan kerentanan bergantung pada bagaimana pengguna mengkonfigurasi Outlook.
A. Outlook dengan Exchange (Dampak terbatas pada hop pertama)
Jika kamu menggunakan Outlook dengan Exchange, versi plaintext dari email terenkripsi hanya akan mencapai satu hop (ke alamat pengirim), karena mengirim email ke Exchange eksternal menghapus bagian plaintext dari pesan.
Tetapi jika penerima dan pengirim berada dalam domain yang sama (Exchange), bagian plaintext akan diteruskan ke penerima juga.
B. Outlook menggunakan SMTP (Dampak pada keseluruhan jalur email)
Jika kamu menjalankan Outlook dengan SMTP, versi plaintext dari email terenkripsi tidak hanya akan diterima oleh penerimanya tetapi juga oleh semua server email di sepanjang jalur.
Peneliti keamanan Kevin Beaumont secara independen memverifikasi keaslian kerentanan tersebut.
Outlook S/MIME bug is absolutely reproducible, I just did it. Does not need an attacker. Microsoft have classified it wrong. @msftsecurity
— Kevin Beaumont (@GossiTheDog) October 10, 2017
Patch Outlook dan Kerentanan Windows Kritis Lainnya
Periset SEC menemukan masalah ini pada bulan Mei dan melaporkannya secara bertanggung jawab kepada Microsoft, namun tidak mendapat balasan dari raksasa teknologi tersebut.
Microsoft merilis sebuah patch untuk memperbaiki bug dalam rilis pembaruan keamanan bulan ini, dan menilai masalah ini sebagai “penting”.
Jadi, jika kamu menggunakan S/MIME Outlook untuk mengenkripsi email sensitif, sangat disarankan untuk menerapkan patch sistem dan perangkat lunak sesegera mungkin.
