IBM hat eine Technote zu den Best Practices for the EFAIL S/MIME Vulnerability veröffentlicht.
Das als „EFail“ bekannt gewordene wurde zunächst als Problem in PGP oder S/MIME-Verschlüsselung fehlinterpretiert, ist aber eigentlich ein Fehler des Mail-Clients. Wenn diesem fehlerhafte Bild-URLs zum Nachladen untergejubelt werden, lädt er unter bestimmten Umständen den Inhalt der gerade geöffneten Mail auf den Server hoch, auf den die URL zeigt. Das betrifft dann unglücklicherweise auch ursprünglich verschlüsselte Mails, die am Client aber im Klartext angezeigt werden.
Notes ist im Grunde dann betroffen, wenn eine eingehende Mail entweder vorher schon am Gateway oder im Client entschlüsselt wird. Letzteres kann Notes out of the box nur für S/MIME. Der Angriff setzt allerdings voraus, dass der Angreifer die Mail auf dem Transportweg oder im Postfach modifizieren konnte, der Benutzer die Nachricht über die defekte dig. Signatur ignoriert und die Bilder nachlädt.
Auf den Schutz der Nachricht zielen auch die Empfehlungen ab, u.a.:
- ECL konfigurieren bzw. den Active Content Filter in iNotes nutzen (default aktiv)
- ACLs sicher konfigurieren
- Transportweg der Mail verschlüsseln (TLS zw. Mailservern)
Der eigentliche Bug im Client ist nicht behoben. Siehe auch diese Antwort des HCL Developments an mich auf Twitter:
Assuming the attacker was able to get through all the hurdles to actually modify the encrypted message with decryptable content and the end user ignored the broken signature and chose to ’show images‘ then yes, the content could be sent to the attacker.