Los laboratorios de la empresa de seguridad WithSecure tienen una mala noticia: el cifrado que se usa para los correos electrónicos en Microsoft Office 365 no es seguro porque tiene un agujero de seguridad. Según WithSecure, Microsoft no planea corregir la vulnerabilidad, aunque el Instituto Nacional de Estándares y Tecnología NIST enumera la vulnerabilidad como grave en su base de datos de vulnerabilidades.
El cifrado de mensajes de Microsoft Office 365 (OME) utiliza el modo de funcionamiento del libro de códigos electrónico (ECB). Este modo generalmente es inseguro y puede revelar información sobre la estructura de los mensajes que se envían, lo que puede resultar en la divulgación parcial o total del mensaje. como en el "Anuncio de propuesta para revisar la publicación especial 800-38A" NIST declara: “En la base de datos nacional de vulnerabilidades (NVD) de NIST, el uso de ECB para cifrar información confidencial representa una vulnerabilidad de seguridad grave; ver por ejemplo CVE-2020-11500 ."
Método de cifrado inseguro
Microsoft Office 365 proporciona un método para enviar mensajes cifrados. Esta característica se anuncia para permitir que las organizaciones envíen y reciban de forma segura mensajes de correo electrónico cifrados entre personas dentro y fuera de su organización. Desafortunadamente, los mensajes OME están encriptados en el modo de operación inseguro Electronic Codebook (ECB).
Los terceros maliciosos que obtienen acceso a los mensajes de correo electrónico cifrados pueden identificar el contenido de los mensajes, ya que el BCE revela cierta información estructural de los mensajes. Esto conduce a una posible pérdida de confidencialidad.
Cifrado: los archivos adjuntos de correo electrónico se pueden analizar
🔎 Impresionantemente engañado: una imagen extraída de un correo electrónico protegido con Office 365 Message Encryption (Imagen: WithSecure).
Dado que los mensajes cifrados se envían como archivos adjuntos de correo electrónico regulares, los mensajes enviados pueden haber sido almacenados en diferentes sistemas de correo electrónico e interceptados por cualquier parte entre el remitente y el destinatario. Un atacante con una gran base de datos de mensajes puede inferir su contenido (o partes de él) analizando las posiciones relativas de secciones repetidas de mensajes interceptados.
La mayoría de los mensajes cifrados con OME se ven afectados y el ataque se puede llevar a cabo fuera de línea en cualquier mensaje cifrado previamente enviado, recibido o interceptado. No hay forma de que la organización impida el análisis de los mensajes ya enviados. Incluso el uso de funciones de administración de derechos no resuelve el problema.
Dependiendo del contenido que se envíe a través de mensajes cifrados, es posible que algunas organizaciones deban considerar las implicaciones legales de la vulnerabilidad. Es posible que la vulnerabilidad haya tenido implicaciones para la privacidad, tal como se describe en el Reglamento general de protección de datos (GDPR) de la UE, la Ley de privacidad del consumidor de California (CCPA) o una legislación similar.
Error: bloques de cifrado repetidos
El modo de funcionamiento Electronic Codebook (ECB) significa que cada bloque de cifrado se cifra individualmente. Los bloques repetidos del mensaje de texto sin formato siempre se asignan a los mismos bloques de texto cifrado. En la práctica, esto significa que el texto sin formato real no se revela directamente, pero sí la información sobre la estructura del mensaje.
Incluso si un mensaje en particular no revelara información directamente de esta manera, con una gran cantidad de mensajes, un atacante puede realizar un análisis de la relación de los patrones repetidos en los archivos para identificar archivos específicos. Esto puede conducir a la capacidad de derivar (partes de) texto sin formato de mensajes cifrados. No se requiere el conocimiento de la clave de cifrado para explotar esta vulnerabilidad y, por lo tanto, Bring Your Own Key (BYOK) o protecciones de clave de cifrado similares no constituyen una acción correctiva.
Sin remedio a la vista por parte de Microsoft
Después de reiteradas consultas sobre el estado de la vulnerabilidad, Microsoft finalmente respondió con lo siguiente: "Se consideró que el informe no cumplía con los requisitos del servicio de seguridad y no se considera una violación. No se realizó ningún cambio de código y, por lo tanto, no se emitió CVE para este informe”.
El usuario final o el administrador del sistema de correo electrónico no tiene forma de aplicar un modo de operación más seguro. Dado que Microsoft no planea corregir esta vulnerabilidad. La única solución al problema es dejar de usar Microsoft Office 365 Message Encryption y usar otra solución.
WithSecure, anteriormente F-Secure Business, tiene una descripción técnica más detallada del problema en su sitio web.
Más en WithSecure.com
Acerca de WithSecure WithSecure, anteriormente F-Secure Business, es el socio de confianza en ciberseguridad. Los proveedores de servicios de TI, los proveedores de servicios de seguridad gestionados y otras empresas confían en WithSecure, al igual que las grandes instituciones financieras, las empresas industriales y los principales proveedores de tecnología y comunicaciones. Con su enfoque de ciberseguridad orientado a los resultados, el proveedor de seguridad finlandés ayuda a las empresas a poner la seguridad en relación con las operaciones y a proteger los procesos y evitar interrupciones comerciales.