Автор: Катерина Левицька Авторка новин видання “Межа”. В медіа з 2015 року, пишу про софт, IT-бізнес та кіно.
Категорії: Microsoft, Поштові клієнти, Outlook
У поштовому клієнті Microsoft Outlook виявили вразливість, яка нібито переводила захищені SSL/TLS-з’єднання у незашифрований режим без відома користувачів. Про цепишеTom’s Hardware ізпосиланнямна звіт IT-блогера і дослідника безпеки Маріуса Хострупа.
Проблема, ймовірно, зачіпає версії Outlook 2007-2016. Підтвердження щодо новіших релізів наразі немає.
Маріус повідомив, що після оновлення поштових серверів із Fedora 42 до Fedora Server 43 (випуск жовтня 2025 року), почав отримувати скарги від клієнтів, які не могли завантажувати електронну пошту. При цьому всі бачили однакове повідомлення від сервера: “Автентифікація відкритим текстом заборонена для незахищених (SSL/TLS) з’єднань”. Це вказувало на те, що поштовий клієнт намагався використати незашифроване з’єднання.
Під час розслідування Маріус з’ясував, що всі постраждалі користувалися Outlook, щонайменше версіями від 2007-2016 року. Найгірше те, що у всіх випадках у налаштуваннях була активована опція “Використовувати TLS/SSL”, через що люди вважали, що з’єднання захищене.
За версією дослідника, проблема може виникати при використанні протоколу POP3 через порт 110. За нормальної поведінки, клієнт з активованим TLS мав би автоматично перейти на захищений порт 995 або принаймні спробувати встановити TLS-з’єднання через порт 110. Натомість, як стверджує Маріус, Outlook просто продовжував роботу без шифрування.
“Користувачі, ймовірно, отримували свою пошту відкритим текстом понад десять років, помилково вважаючи, що шифрування увімкнене”, – пише Маріус.
“Користувачі, ймовірно, отримували свою пошту відкритим текстом понад десять років, помилково вважаючи, що шифрування увімкнене”, – пише Маріус.
Причиною, чому проблема проявилася лише зараз, стало оновлення поштового сервера Dovecot до версії 2.4.3 у Fedora Server 43. У цій версії було повністю вимкнено автентифікацію через незашифровані з’єднання на рівні сервера.
На думку дослідника, проблему могли не помітити раніше через те, що більшість користувачів сьогодні використовують IMAP замість POP3. Крім того, Outlook у стандартних налаштуваннях для POP3 зазвичай автоматично застосовує захищений порт 995, тому в типовій конфігурації шифрування працює коректно. Водночас він припускає, що під ризиком можуть бути користувачі зі старими або вручну налаштованими акаунтами, де використовується POP3 із портом 110, а також деякі хостинг-провайдери, які досі підтримують різні застарілі варіанти підключення.
Спосіб захисту доволі простий: користувачам POP3 в Outlook варто перевірити налаштування та переконатися, що використовується порт 995, а не 110.
Незашифроване з’єднання означає, що листи можуть бути перехоплені будь-ким, хто має доступ до мережевого трафіку між користувачем і сервером. Маріус також зазначає, що така ситуація потенційно може суперечити вимогам європейського регламенту GDPR, який вимагає захисту персональних даних під час передавання.
Читайте також:Дослідник перетворив саундбар Creative на повністю віддалений бекдор для ПК завдяки вразливостям
