Microsoft Outlook десятилетиями мог незаметно отключать шифрование соединений, утверждает блогер

1 час назад / Технологии → Новости / Технологии

ИТ-блогер заявил, что обнаружил критическую уязвимость в безопасности Microsoft Outlook, которая, как сообщается, в течение десятилетий незаметно понижала защищенные SSL/TLS-соединения до незашифрованного текста, не уведомляя об этом пользователей. Судя по всему, это затрагивает как минимум Outlook 2007–2016 годов, а возможно, и более поздние версии, хотя для Outlook 2019 и новее это пока не подтверждено.

Отчет появился в блоге Marius World, где автор описывает, как обнаружил проблему после обновления своих почтовых серверов с Fedora 42 до Fedora Server 43 (выпущенной в октябре 2025 года). Мариус начал получать жалобы от клиентов, которые не могли получать электронные письма. Все получали одно и то же сообщение об ошибке от почтового сервера: «Аутентификация в открытом виде запрещена для незащищенных (SSL/TLS) соединений». Это означало, что почтовый клиент пользователя пытался использовать незашифрованное соединение — метод, который системные администраторы не используют уже несколько десятилетий.

Мариус понял, что все пострадавшие пользовались Outlook, по крайней мере, версий с 2007 по 2016. Хуже всего то, что, казалось, у всех был включен флажок «Использовать SSL/TLS», то есть безопасность протокола все это время молчаливо понижалась. Ошибку можно воспроизвести, выбрав порт 110 и используя протокол POP3. Принудительное включение TLS должно было заставить клиент автоматически переключиться на порт 995 или, по крайней мере, попытаться установить TLS-соединение на порту 110. Однако Outlook просто продолжает работу без шифрования. «Вероятно, клиенты получали свои электронные письма в незашифрованном виде более десяти лет, ошибочно полагая, что шифрование включено», — утверждает Мариус.

Причина, по которой администраторы серверов Fedora начали замечать это поведение только недавно, заключается в том, что версия 43 обновила почтовый сервер Dovecot SMTP/IMAP до версии 2.4.3, в которой бэкенд полностью отключил аутентификацию в открытом виде. Вероятные причины, по которым проблема не была обнаружена раньше, — это то, что сегодня по умолчанию используется тип учетной записи IMAP, а в конфигурации Outlook по умолчанию для POP3 установлен порт 995. Тем не менее, есть вероятность, что значительное количество пользователей затронуто, особенно в средах, где необходимо поддерживать множество конфигураций, например, в веб-хостинге.

Решение довольно простое: проверьте настройки своей учетной записи Outlook, и если вы используете POP3, убедитесь, что порт подключения — 995. Если ваша электронная почта проходит через незашифрованное соединение, любой в вашей сети или на пути к вашему серверу может спокойно ее прочитать, раскрывая не только вашу переписку, но и переписку других людей. Мариус также отмечает, что эта ситуация технически является нарушением GDPR ЕС, поскольку закон неявно требует, чтобы любые данные клиентов передавались по зашифрованным соединениям.

Источник: Tomshardware.com