EFAIL：PGP/GPG 와 S/MIME 취약점 (CVE-2017-17688, CVE-2017-17689) 주의!

얼마 전, PGP/GPG 와 S/MIME 취약점이 발견되었습니다. 이번에 발견된 두개의 취약점은 EFAIL이라 명명되었습니다. 

PGP와 S/MIME은 회사, 정부, 사이버 범죄자들 조차 스파잉 할 수 없도록 이메일을 암호화하는데 사용 되는 인기 있는 종단간 암호화 표준입니다.

다행이도 이번에 발견 된 취약점은 이메일 암호 표준 자체에서 발견된 것은 아닙니다. 이 취약점은 해당 기술을 잘못 적용한 일부 이메일 클라이언트 및 플러그인에 존재합니다.

개요 

EFAIL 공격은 OpenPGP 및 S / MIME 표준의 취약점을 악용하여 암호화 된 이메일을 일반 텍스트 형태로 나타냅니다. 

예를들어, EFAIL 취약점은 외부에서 로드 된 이미지 나 스타일과 같은 HTML 이메일의 액티브 컨텐츠를 악용하여 요청 된 URL을 통해 이메일의 일반 텍스트를 추출합니다. 

이러한 exfiltration 채널을 만들려면 공격자는 먼저 네트워크 트래픽을 도청하거나 이메일 계정, 이메일 서버, 백업 시스템 또는 클라이언트 컴퓨터를 손상시키는 등의 방법으로 암호화 된 전자 메일에 액세스 해야 합니다. 이러한 이메일은 몇 년 전에 어떠한 방법에 의해 수집 된 것 일 수도 있습니다. 

공격자는 암호화 된 이메일을 특정 방식으로 변경하고 변경시킨 암호화 된 이메일을 희생자에게 보냅니다. 희생자의 이메일 클라이언트는 이메일을 암호 해독하고 외부 컨텐츠를 로드하여 일반 텍스트를 공격자에게 넘겨 정보를 유출합니다. 

CVE번호

CVE-2017-17688

OpenPGP CFB gadget attacks 

CVE-2017-17689

S/MIME CBC gadget attacks 

조치방법

패치가 아직 공개되지 않았기 때문에 사용자는 임시 조치를 진행해야 함

이메일 무결성이 손상되었을 때 경고를 보여주도록 함

HTML 이메일을 렌더링 하지 않은 다른 이메일 클라이언트를 사용

PGP 플러그인 임시 사용 금지(▶참고)

참고 :

https://twitter.com/seecurity/status/995906576170053633

https://www.eff.org/deeplinks/2018/05/attention-pgp-users-new-vulnerabilities-require-you-take-action-now

https://lists.gnupg.org/pipermail/gnupg-users/2018-May/060320.html

https://efail.de/