C'è un difetto nel modo in cui Microsoft gestisce le e-mail sicure (si apre in una nuova scheda) inviate tramite Microsoft Office 365, ha affermato un ricercatore di sicurezza.
Come riportato da ComputerWeekly, con una dimensione del campione sufficientemente ampia, un attore malintenzionato potrebbe apparentemente abusare del difetto per decrittografare il contenuto delle e-mail crittografate.
Tuttavia, Microsoft ha minimizzato i risultati, dicendo che in realtà non si trattava di un bug. Al momento, la società non intende attuare un rimedio.
Più email, scoperta più facile
Il difetto è stato scoperto dal ricercatore di sicurezza Harry Sintonen di WithSecure (ex F-Secure) in Office 365 Message Encryption (OME).
Le organizzazioni utilizzano spesso OME quando cercano di inviare e-mail crittografate, sia internamente che esternamente. Ma poiché OME crittografa ogni blocco di cifratura individualmente e con blocchi ripetuti del messaggio corrispondenti ogni volta agli stessi blocchi di testo cifrato, un attore malintenzionato potrebbe teoricamente rivelare dettagli sulla struttura del messaggio.
Questo, secondo Sintonen, significa che un potenziale attore di minacce con un campione sufficientemente ampio di e-mail OME potrebbe dedurre il contenuto dei messaggi. Tutto ciò che dovrebbero fare è analizzare la posizione e la frequenza degli schemi ripetuti in ogni post e collegarli ad altri post.
"Più e-mail rendono questo processo più semplice e accurato, quindi è qualcosa che gli aggressori possono fare dopo aver messo le mani su file e-mail rubati durante una violazione dei dati o aver violato l'account e-mail di qualcuno. qualcuno, al server e-mail o per accedere ai backup," disse Sinton.
Se i file di posta elettronica vengono rubati da un attore malintenzionato durante una violazione dei dati, ciò significa che puoi analizzare i modelli offline, rendendo il tuo lavoro ancora più semplice. Inoltre renderebbe obsolete le pratiche Bring Your Own Encryption/Key (BYOE/K).
Sfortunatamente, se un hacker si impossessa di queste e-mail, non c'è davvero molto che le aziende possono fare.
Apparentemente, il ricercatore ha segnalato il problema a Microsoft all'inizio di quest'anno, ma senza successo. In una dichiarazione fornita a WithSecure, Microsoft ha affermato che il rapporto "non è stato considerato come una violazione dei servizi di sicurezza, né è stato considerato una violazione. Non sono state apportate modifiche al codice e quindi non è stato emesso alcun CVE per questo rapporto".
Tramite ComputerWeekly (si apre in una nuova scheda)