Microsoft Office 365: crittografia non sicura per le e-mail

19. Ottobre 2022
| Non ci sono commenti
Microsoft Office 365: crittografia non sicura per le e-mail

Condividi post

I laboratori della società di sicurezza WithSecure hanno cattive notizie: la crittografia utilizzata per le e-mail in Microsoft Office 365 non è sicura perché presenta una falla di sicurezza. Secondo WithSecure, Microsoft non prevede di correggere la vulnerabilità, sebbene il National Institute of Standards and Technology NIST elenchi la vulnerabilità come grave nel suo Vulnerability Database.

Microsoft Office 365 Message Encryption (OME) utilizza la modalità operativa Electronic Codebook (ECB). Questa modalità è generalmente non sicura e può rivelare informazioni sulla struttura dei messaggi inviati, il che può comportare una divulgazione parziale o totale del messaggio. Come nel "Annuncio di proposta di revisione della pubblicazione speciale 800-38A" Il NIST afferma: “Nel NIST National Vulnerability Database (NVD), l'uso di ECB per crittografare informazioni sensibili rappresenta una grave vulnerabilità di sicurezza; vedi per esempio CVE-2020-11500 . "

Metodo di crittografia non sicuro

Microsoft Office 365 fornisce un metodo per l'invio di messaggi crittografati. Questa funzione è pubblicizzata per consentire alle organizzazioni di inviare e ricevere in modo sicuro messaggi di posta elettronica crittografati tra persone all'interno e all'esterno dell'organizzazione. Sfortunatamente, i messaggi OME sono crittografati nella modalità operativa non sicura Electronic Codebook (ECB).

Terze parti malintenzionate che ottengono l'accesso ai messaggi di posta elettronica crittografati potrebbero essere in grado di identificare il contenuto dei messaggi poiché la BCE rivela determinate informazioni strutturali dei messaggi. Ciò comporta una potenziale perdita di riservatezza.

Crittografia: gli allegati e-mail possono essere analizzati

🔎 Straordinariamente ingannato: un'immagine estratta da un'e-mail protetta da crittografia dei messaggi di Office 365 (Immagine: WithSecure).

Poiché i messaggi crittografati vengono inviati come normali allegati di posta elettronica, i messaggi inviati potrebbero essere stati archiviati in diversi sistemi di posta elettronica e intercettati da qualsiasi parte tra il mittente e il destinatario. Un utente malintenzionato con un database di messaggi di grandi dimensioni può dedurne il contenuto (o parti di esso) analizzando le posizioni relative di sezioni ripetute di messaggi intercettati.

La maggior parte dei messaggi crittografati con OME è interessata e l'attacco può essere eseguito offline su qualsiasi messaggio crittografato inviato, ricevuto o intercettato in precedenza. Non c'è modo per l'organizzazione di impedire l'analisi dei messaggi già inviati. Anche l'utilizzo delle funzioni di gestione dei diritti non risolve il problema.

A seconda del contenuto inviato tramite messaggi crittografati, alcune organizzazioni potrebbero dover considerare le implicazioni legali della vulnerabilità. È possibile che la vulnerabilità abbia comportato implicazioni sulla privacy come descritto nel Regolamento generale sulla protezione dei dati (GDPR) dell'UE, nel California Consumer Privacy Act (CCPA) o in una legislazione simile.

Errore: blocchi di cifratura ripetuti

La modalità di funzionamento Electronic Codebook (ECB) significa che ogni blocco di crittografia è crittografato individualmente. I blocchi ripetuti del messaggio di testo in chiaro vengono sempre mappati agli stessi blocchi di testo cifrato. In pratica, ciò significa che il vero testo in chiaro non viene rivelato direttamente, ma lo sono le informazioni sulla struttura del messaggio.

Anche se un particolare messaggio non rivelerebbe direttamente le informazioni in questo modo, con un numero elevato di messaggi un utente malintenzionato è in grado di eseguire un'analisi della relazione dei modelli ripetuti nei file per identificare file specifici. Questo può portare alla capacità di derivare (parti di) testo semplice da messaggi crittografati. La conoscenza della chiave di crittografia non è necessaria per sfruttare questa vulnerabilità e pertanto Bring Your Own Key (BYOK) o protezioni simili della chiave di crittografia non sono di alcuna azione correttiva.

Nessun rimedio in vista da parte di Microsoft

Dopo ripetute domande sullo stato della vulnerabilità, Microsoft ha infine risposto con quanto segue: "Il rapporto non è stato considerato conforme ai requisiti del servizio di sicurezza e non è considerato una violazione. Non è stata apportata alcuna modifica al codice e pertanto non è stato emesso alcun CVE per questo rapporto.

L'utente finale o l'amministratore del sistema di posta elettronica non ha modo di imporre una modalità operativa più sicura. Poiché Microsoft non prevede di correggere questa vulnerabilità. L'unica soluzione al problema è interrompere l'utilizzo di Microsoft Office 365 Message Encryption e utilizzare un'altra soluzione.

WithSecure, precedentemente F-Secure Business, ha una descrizione tecnica più dettagliata del problema sul suo sito web.

Altro su WithSecure.com

 

Informazioni su WithSecure

WithSecure, precedentemente F-Secure Business, è il partner di fiducia nella sicurezza informatica. I fornitori di servizi IT, i fornitori di servizi di sicurezza gestiti e altre aziende si affidano a WithSecure, così come i grandi istituti finanziari, le aziende industriali e i principali fornitori di tecnologie e comunicazioni. Con il suo approccio alla sicurezza informatica orientato ai risultati, il fornitore di sicurezza finlandese aiuta le aziende a mettere la sicurezza in relazione alle operazioni e a proteggere i processi e prevenire interruzioni dell'attività.

 

Articoli relativi all'argomento

Sicurezza IT: NIS-2 ne fa una priorità assoluta

Solo in un quarto delle aziende tedesche il management si assume la responsabilità della sicurezza informatica. Soprattutto nelle aziende più piccole ➡ Leggi di più

Gli attacchi informatici aumenteranno del 104% nel 2023

Una società di sicurezza informatica ha dato uno sguardo al panorama delle minacce dello scorso anno. I risultati forniscono informazioni cruciali su ➡ Leggi di più

Lo spyware mobile rappresenta una minaccia per le aziende

Sempre più persone utilizzano i dispositivi mobili sia nella vita di tutti i giorni che in azienda. Ciò riduce anche il rischio di “mobile ➡ Leggi di più

La sicurezza in crowdsourcing individua molte vulnerabilità

La sicurezza in crowdsourcing è aumentata in modo significativo nell’ultimo anno. Nel settore pubblico sono state segnalate il 151% in più di vulnerabilità rispetto all’anno precedente. ➡ Leggi di più

Sicurezza digitale: i consumatori hanno più fiducia nelle banche

Un sondaggio sulla fiducia digitale ha mostrato che le banche, la sanità e il governo sono i soggetti più fidati da parte dei consumatori. I media- ➡ Leggi di più

Borsa di lavoro nel Darknet: gli hacker cercano insider rinnegati

La Darknet non è solo uno scambio di beni illegali, ma anche un luogo dove gli hacker cercano nuovi complici ➡ Leggi di più

Impianti solari: quanto sono sicuri?

Uno studio ha esaminato la sicurezza informatica degli impianti solari. I problemi includono la mancanza di crittografia durante il trasferimento dei dati, password standard e aggiornamenti firmware non sicuri. tendenza ➡ Leggi di più

Nuova ondata di phishing: gli aggressori utilizzano Adobe InDesign

Attualmente si registra un aumento degli attacchi di phishing che abusano di Adobe InDesign, un sistema di pubblicazione di documenti noto e affidabile. ➡ Leggi di più

racconti
, , , , , ,