Securitybedrijf: Microsoft Office 365-encryptie kan inhoud berichten lekken
Een methode die in Microsoft 365 wordt gebruikt voor het versleutelen van berichten kan de inhoud daarvan lekken, zo stelt securitybedrijf WithSecure. Het bedrijf meldde het probleem met de berichtversleuteling bij Microsoft en kreeg hiervoor een beloning van vijfduizend dollar. De kwetsbaarheid komt echter niet in aanmerking voor een beveiligingsupdate, aldus het techbedrijf.
De Microsoft Office 365 Message Encryption (OME) laat gebruikers versleutelde e-mails ontvangen en versturen. Voor de versleuteling wordt gebruik gemaakt van de Electronic Codebook (ECB) mode. Volgens WithSecure is ECB onveilig en kan het informatie over de structuur van verstuurde berichten lekken, wat weer kan leiden tot het gedeeltelijk of volledig lekken van de berichtinhoud. Een aanvaller zou wel eerst toegang tot een groot aantal versleutelde berichten moeten krijgen.
Het probleem met de Electronic Codebook (ECB) mode is dat het versleutelen van hetzelfde block van plaintext data altijd hetzelfde versleutelde resultaat oplevert. Hoewel de inhoud van de versleutelde data niet direct zichtbaar is, geldt dat wel voor informatie over de structuur van het bericht. Aan de hand van deze patronen is het mogelijk om de inhoud van versleutelde berichten deels of gedeeltelijk te achterhalen, aldus de onderzoekers.
De problemen met ECB zijn niet nieuw. In 2013 bleek dat Adobe van ECB gebruikmaakte voor de opslag van wachtwoorden, wat voor de nodige kritiek zorgde nadat het softwarebedrijf gegevens van 150 miljoen gebruikers had gelekt, waaronder inloggegevens. Eerder had ook het Europees agentschap voor netwerk- en informatiebeveiliging (ENISA) organisaties voor ECB gewaarschuwd.
WithSecure meldde het probleem begin dit jaar bij Microsoft. Een week later ontving het securitybedrijf een beloning van 5000 dollar voor de bugmelding. In augustus en september liet Microsoft echter weten dat de kwetsbaarheid niet in aanmerking komt om te worden verholpen met een beveiligingsupdate. Aangezien er geen oplossing beschikbaar is adviseert het securitybedrijf om de Microsoft Office 365 berichtversleuteling niet te gebruiken.
Waarschijnlijk omdat OME verouderd is en klanten moeten overstappen op Purview. Ik vind echter zogauw niets terug over de gebruikte encryptie van Purview.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.