Auch Outlook akzeptiert gefälschte Unterschriften

Outlook kann man E-Mails mit gefälschten digitalen Unterschriften unterschieben, hat der Sicherheitsexperte Mike Benham herausgefunden. Auch wenn Microsoft beteuert, dass nur der Internet Explorer von der vor drei Wochen veröffentlichten Sicherheitslücke beim Überprüfen von digitalen Zertifikaten betroffen sei, weist Outlook offensichtlich dieselbe Schwäche auf: Signiert ein Angreifer ein neues Zertifikat mit einem gültigen Zertifikat, akzeptieren die Microsoft-Applikationen das neue Zertifikat ebenfalls als vertrauenswürdig. Benham stellt mitlerweile sogar ein Tool bereit, das on-the-fly solche Zertifikate für umgeleitete https-Verbindungen erstellt und sich damit zum Beispiel als der vermeintlich sichere Online-Banking-Server ausgeben kann.

Für Outlook-Benutzer mache es somit so gut wie keinen Unterschied, ob eine E-Mail signiert sei oder nicht, konstatiert Benham. Ohne detaillierte Untersuchung des Zertifikats haben sie kaum eine Chance, eine Fälschung zu bemerken. Dies gelte für alle digital signierten E-Mails, die man in den letzten fünf Jahren erhalten habe.

Während beispielsweise die KDE-Entwickler einen Patch für den ebenfalls verwundbaren Browser Konqueror bereitstellten, ist für Microsoft-Kunden immer noch keine Abhilfe in Sicht. Laut Benham sei man sich bei Microsoft noch nicht einmal sicher, ob der Outlook-Bug überhaupt eine Sicherheitslücke sei. Um das zu ändern, ermutigt Benham, an Bill Gates E-Mails mit dessen eigner digitalen Unterschrift zu senden und beschreibt die dafür nötigen Schritte sogar en detail. (ju)