Microsoft Outlook незабележимо е изключвал криптирането на линковете поне от 2007 година насам

В пощенския клиент Microsoft Outlook е открита уязвимост, която според твърденията е превръщала защитените SSL/TLS линкове в некриптирани без знанието на потребителите. За това пише Tom’s Hardware, позовавайки се на доклада на ИТ блогъра и изследовател по сигурността Мариус Хоструп. Проблемът вероятно засяга версиите на Outlook 2007-2016. Понастоящем няма потвърждение за по-новите версии.

Хоструп съобщи, че след актуализирането на пощенските сървъри от Fedora 42 към Fedora Server 43 (издание от октомври 2025 година), започнал да получава оплаквания от клиенти, които не можели да изтеглят електронната си поща. При това всички са виждали едно и също съобщение от сървъра: „Автентификацията с некриптиран текст е забранена за незащитени (SSL/TLS) връзки“. Това е сочело, че пощенският клиент се е опитвал да използва некриптирана връзка.

По време на разследването блогърът установил, че всички засегнати са използвали Outlook, най-малко версии от 2007-2016 година. Най-лошото е, че във всички случаи в настройките е била активирана опцията „Използвай TLS/SSL“, поради което хората са смятали, че връзката е защитена. Според изследователя, проблемът може да възникне при използване на протокола POP3 през порт 110. При нормално поведение клиентът с активиран TLS би трябвало автоматично да премине към защитения порт 995 или поне да се опита да установи TLS-връзка през порт 110. Вместо това, както твърди Хоструп, Outlook просто е продължавал да работи без криптиране.

„Потребителите вероятно са получавали пощата си в чист текст в продължение на повече от 10 години, като погрешно са смятали, че криптирането е активирано.“

пише той

Причината, поради която проблемът се прояви едва сега е актуализацията на пощенския сървър Dovecot до версия 2.4.3 във Fedora Server 43. В тази версия автентификацията чрез некриптирани връзки на ниво сървър беше напълно деактивирана.

Според изследователя проблемът може да не е бил забелязан по-рано, тъй като днес повечето потребители използват IMAP вместо POP3. Освен това Outlook в стандартните настройки за POP3 обикновено автоматично използва защитен порт 995, поради което в типичната конфигурация криптирането работи коректно. В същото време той предполага, че рискът може да засегне потребители със стари или ръчно настроени акаунти, където се използва POP3 с порт 110, както и някои хостинг доставчици, които все още поддържат различни остарели варианти на свързване. Начинът за защита е доста прост: потребителите на POP3 в Outlook трябва да проверят настройките си и да се уверят, че се използва порт 995, а не 110.

Некриптираната връзка означава, че писмата могат да бъдат прихванати от всеки, който има достъп до мрежовия трафик между потребителя и сървъра. Мариус също така отбелязва, че такава ситуация потенциално може да противоречи на изискванията на европейския регламент GDPR, който изисква защита на личните данни по време на предаването им.