सुरक्षा कंपनी WithSecure की प्रयोगशालाओं में बुरी खबर है: Microsoft Office 365 में ईमेल के लिए उपयोग किया जाने वाला एन्क्रिप्शन सुरक्षित नहीं है क्योंकि इसमें सुरक्षा छेद है। WithSecure के अनुसार, Microsoft भेद्यता को ठीक करने की योजना नहीं बनाता है, हालाँकि राष्ट्रीय मानक और प्रौद्योगिकी संस्थान NIST अपने भेद्यता डेटाबेस में भेद्यता को गंभीर रूप से सूचीबद्ध करता है।
Microsoft Office 365 संदेश एन्क्रिप्शन (OME) इलेक्ट्रॉनिक कोडबुक (ECB) ऑपरेटिंग मोड का उपयोग करता है। यह मोड आम तौर पर असुरक्षित होता है और भेजे जा रहे संदेशों की संरचना के बारे में जानकारी प्रकट कर सकता है, जिसके परिणामस्वरूप संदेश का आंशिक या पूर्ण प्रकटीकरण हो सकता है। जैसे में "विशेष प्रकाशन 800-38ए को संशोधित करने के प्रस्ताव की घोषणा" एनआईएसटी कहता है: “एनआईएसटी राष्ट्रीय भेद्यता डेटाबेस (एनवीडी) में, संवेदनशील जानकारी को एन्क्रिप्ट करने के लिए ईसीबी का उपयोग एक गंभीर सुरक्षा भेद्यता का प्रतिनिधित्व करता है; उदाहरण के लिए देखें सीवीई-2020-11500 ".
असुरक्षित एन्क्रिप्शन विधि
Microsoft Office 365 एन्क्रिप्टेड संदेश भेजने के लिए एक विधि प्रदान करता है। यह सुविधा संगठनों को आपके संगठन के अंदर और बाहर के लोगों के बीच सुरक्षित रूप से एन्क्रिप्टेड ईमेल संदेश भेजने और प्राप्त करने में सक्षम बनाने के लिए विज्ञापित की गई है। दुर्भाग्य से, OME संदेशों को ऑपरेशन के असुरक्षित इलेक्ट्रॉनिक कोडबुक (ECB) मोड में एन्क्रिप्ट किया गया है।
दुर्भावनापूर्ण तृतीय पक्ष जो एन्क्रिप्टेड ईमेल संदेशों तक पहुंच प्राप्त करते हैं, संदेशों की सामग्री की पहचान करने में सक्षम हो सकते हैं क्योंकि ईसीबी संदेशों की कुछ संरचनात्मक जानकारी प्रकट करता है। इससे गोपनीयता की संभावित हानि होती है।
एन्क्रिप्शन: ईमेल अटैचमेंट का विश्लेषण किया जा सकता है
चूंकि एन्क्रिप्ट किए गए संदेश नियमित ईमेल अटैचमेंट के रूप में भेजे जाते हैं, भेजे गए संदेश अलग-अलग ईमेल सिस्टम में संग्रहीत किए जा सकते हैं और प्रेषक और प्राप्तकर्ता के बीच किसी भी पक्ष द्वारा इंटरसेप्ट किए जा सकते हैं। बड़े संदेश डेटाबेस वाला एक हमलावर इंटरसेप्ट किए गए संदेशों के दोहराए गए अनुभागों की सापेक्ष स्थिति का विश्लेषण करके इसकी सामग्री (या इसके कुछ हिस्सों) का अनुमान लगा सकता है।
अधिकांश ओएमई-एन्क्रिप्टेड संदेश प्रभावित होते हैं, और पहले भेजे गए, प्राप्त किए गए या इंटरसेप्ट किए गए एन्क्रिप्टेड संदेश पर हमला ऑफ़लाइन किया जा सकता है। पहले से भेजे गए संदेशों के विश्लेषण को रोकने के लिए संगठन के पास कोई रास्ता नहीं है। अधिकार प्रबंधन कार्यों का उपयोग करने से भी समस्या का समाधान नहीं होता है।
एन्क्रिप्टेड संदेशों पर भेजी जा रही सामग्री के आधार पर, कुछ संगठनों को भेद्यता के कानूनी निहितार्थों पर विचार करने की आवश्यकता हो सकती है। यह संभव है कि भेद्यता के परिणामस्वरूप ईयू जनरल डेटा प्रोटेक्शन रेगुलेशन (जीडीपीआर), कैलिफोर्निया कंज्यूमर प्राइवेसी एक्ट (सीसीपीए), या इसी तरह के कानून में वर्णित गोपनीयता निहितार्थ हो।
त्रुटि: दोहराए गए सिफर ब्लॉक
ऑपरेशन के इलेक्ट्रॉनिक कोडबुक (ईसीबी) मोड का मतलब है कि प्रत्येक एन्क्रिप्शन ब्लॉक को व्यक्तिगत रूप से एन्क्रिप्ट किया गया है। प्लेनटेक्स्ट संदेश के दोहराए जाने वाले ब्लॉक हमेशा एक ही सिफरटेक्स्ट ब्लॉक में मैप किए जाते हैं। व्यवहार में, इसका अर्थ है कि वास्तविक सादा पाठ सीधे प्रकट नहीं होता है, लेकिन संदेश की संरचना के बारे में जानकारी होती है।
भले ही कोई विशेष संदेश सीधे इस तरह से जानकारी प्रकट नहीं करेगा, बड़ी संख्या में संदेशों के साथ एक हमलावर विशिष्ट फ़ाइलों की पहचान करने के लिए फ़ाइलों में दोहराए गए पैटर्न के संबंध का विश्लेषण करने में सक्षम होता है। इससे एन्क्रिप्टेड संदेशों से सादे पाठ (भागों) को प्राप्त करने की क्षमता हो सकती है। इस भेद्यता का फायदा उठाने के लिए एन्क्रिप्शन कुंजी का ज्ञान आवश्यक नहीं है और इसलिए ब्रिंग योर ओन की (BYOK) या इसी तरह की एन्क्रिप्शन कुंजी सुरक्षा कोई उपचारात्मक कार्रवाई नहीं है।
Microsoft की ओर से कोई उपाय नज़र नहीं आ रहा है
भेद्यता की स्थिति के बारे में बार-बार पूछताछ के बाद, Microsoft ने अंततः निम्नलिखित के साथ प्रतिक्रिया दी: "रिपोर्ट को सुरक्षा सेवा आवश्यकताओं को पूरा करने के लिए नहीं माना गया था और इसे उल्लंघन नहीं माना गया था। कोई कोड परिवर्तन नहीं किया गया था और इसलिए इस रिपोर्ट के लिए कोई सीवीई जारी नहीं किया गया था।”
अंतिम उपयोगकर्ता या ईमेल सिस्टम व्यवस्थापक के पास ऑपरेशन के अधिक सुरक्षित मोड को लागू करने का कोई तरीका नहीं है। चूंकि Microsoft इस भेद्यता को ठीक करने की योजना नहीं बनाता है। समस्या का एकमात्र समाधान Microsoft Office 365 संदेश एन्क्रिप्शन का उपयोग करना बंद करना और किसी अन्य समाधान का उपयोग करना है।
विदसिक्योर, पूर्व में एफ-सिक्योर बिजनेस, की अपनी वेबसाइट पर इस मुद्दे का अधिक विस्तृत, तकनीकी विवरण है।
WithSecure.com पर अधिक
विथसिक्योर के बारे में विदसिक्योर, पूर्व में एफ-सिक्योर बिजनेस, साइबर सुरक्षा में विश्वसनीय भागीदार है। IT सेवा प्रदाता, प्रबंधित सुरक्षा सेवा प्रदाता और अन्य कंपनियाँ WithSecure पर भरोसा करती हैं - जैसा कि बड़े वित्तीय संस्थान, औद्योगिक कंपनियाँ और प्रमुख संचार और प्रौद्योगिकी प्रदाता करते हैं। साइबर सुरक्षा के लिए अपने परिणाम-उन्मुख दृष्टिकोण के साथ, फ़िनिश सुरक्षा प्रदाता कंपनियों को संचालन के संबंध में सुरक्षा देने और प्रक्रियाओं को सुरक्षित करने और व्यावसायिक रुकावटों को रोकने में मदद करता है।