Microsoft Office 365: Unsichere Verschlüsselung bei Mails

Microsoft Office 365: Unsichere Verschlüsselung bei Mails

Beitrag teilen

Die Labs des Security Unternehmens WithSecure haben keine gute Nachricht: Die bei Microsoft Office 365 verwendete Verschlüsselung für E-Mails ist nicht sicher, da sie eine Sicherheitslücke hat. Laut WithSecure plant Microsoft keine Behebung der Schwachstelle, obwohl das National Institute of Standards and Technology NIST die Schwachstelle in ihrer Vulnerability Database als schwerwiegend aufführt.

Microsoft Office 365 Message Encryption (OME) nutzt den Betriebsmodus Electronic Codebook (ECB). Dieser Modus ist im Allgemeinen unsicher und kann Informationen über die Struktur der gesendeten Nachrichten preisgeben, was zu einer teilweisen oder vollständigen Offenlegung der Nachricht führen kann. Wie in der „ Announcement of Proposal to Revise Special Publication 800-38A “ des NIST angegeben: „In der NIST National Vulnerability Database (NVD) stellt die Verwendung von ECB zur Verschlüsselung vertraulicher Informationen eine schwerwiegende Sicherheitslücke dar; siehe beispielsweise CVE-2020 -11500 .“

Anzeige

Unsichere Verschlüsselungs-Methode

Microsoft Office 365 bietet eine Methode zum Senden verschlüsselter Nachrichten. Diese Funktion wird beworben, damit Organisationen verschlüsselte E-Mail-Nachrichten zwischen Personen innerhalb und außerhalb Ihrer Organisation auf sichere Weise senden und empfangen können. Leider werden die OME-Nachrichten im unsicheren Betriebsmodus des elektronischen Codebuchs (ECB) verschlüsselt.

Böswillige Dritte, die Zugriff auf die verschlüsselten E-Mail-Nachrichten erhalten, können möglicherweise den Inhalt der Nachrichten identifizieren, da die ECB bestimmte strukturelle Informationen der Nachrichten preisgibt. Dies führt zu einem potenziellen Verlust der Vertraulichkeit.

Verschlüsselung: E-Mail-Anhänge lassen sich analysieren

🔎 Eindrucksvoll ausgetrickst: Ein extrahiertes Bild aus einer Office 365 Message Encryption geschützten E-Mail (Bild: WithSecure).

Da die verschlüsselten Nachrichten als reguläre E-Mail-Anhänge gesendet werden, können die gesendeten Nachrichten in verschiedenen E-Mail-Systemen gespeichert und von irgendeiner Partei zwischen dem Absender und dem Empfänger abgefangen worden sein. Ein Angreifer mit einer großen Nachrichtendatenbank kann auf deren Inhalt (oder Teile davon) schließen, indem er die relativen Positionen wiederholter Abschnitte der abgefangenen Nachrichten analysiert.

Die meisten OME-verschlüsselten Nachrichten sind betroffen, und der Angriff kann offline auf alle zuvor gesendeten, empfangenen oder abgefangenen verschlüsselten Nachrichten durchgeführt werden. Es gibt keine Möglichkeit für die Organisation, die Analyse bereits gesendeter Nachrichten zu verhindern. Auch die Verwendung von Rechteverwaltungsfunktionen behebt das Problem nicht.

Abhängig von den Inhalten, die über verschlüsselte Nachrichten gesendet werden, müssen einige Organisationen möglicherweise die rechtlichen Auswirkungen der Sicherheitsanfälligkeit berücksichtigen. Es ist möglich, dass die Sicherheitsanfälligkeit zu Auswirkungen auf die Privatsphäre geführt hat, wie in der EU-Datenschutz-Grundverordnung (DSGVO), dem Verbraucherdatenschutzgesetz des US-Bundesstaates Kalifornien (CCPA) oder ähnlichen Gesetzen beschrieben.

Fehler: Wiederholte Verschlüsselungsblöcke

Der Betriebsmodus des elektronischen Codebuchs (ECB) bedeutet, dass jeder Verschlüsselungsblock einzeln verschlüsselt wird. Sich wiederholende Blöcke der Klartextnachricht werden immer denselben Chiffretextblöcken zugeordnet. In der Praxis bedeutet dies, dass zwar nicht direkt der eigentliche Klartext preisgegeben wird, wohl aber Informationen über den Aufbau der Nachricht.

Selbst wenn eine bestimmte Nachricht auf diese Weise nicht direkt Informationen preisgeben würde, ist ein Angreifer mit einer großen Anzahl von Nachrichten in der Lage, eine Analyse der Beziehung der wiederholten Muster in den Dateien durchzuführen, um bestimmte Dateien zu identifizieren. Dies kann zu der Fähigkeit führen, (Teile von) Klartext von verschlüsselten Nachrichten abzuleiten. Es ist keine Kenntnis des Verschlüsselungsschlüssels erforderlich, um diese Schwachstelle auszunutzen und daher haben Bring Your Own Key (BYOK) oder ähnliche Schutzmaßnahmen für Verschlüsselungsschlüssel keine Abhilfewirkung.

Von Microsoft keine Abhilfe in Sicht

Nach wiederholten Nachfragen zum Status der Schwachstelle antwortete Microsoft schließlich mit folgendem: „Der Bericht wurde nicht als Erfüllung der Anforderungen an die Sicherheitsdienstleistung angesehen und wird auch nicht als Verstoß angesehen. Es wurde keine Codeänderung vorgenommen und daher wurde für diesen Bericht kein CVE herausgegeben.“

Der Endbenutzer oder Administrator des E-Mail-Systems hat keine Möglichkeit, einen sichereren Betriebsmodus zu erzwingen. Da Microsoft nicht plant, diese Schwachstelle zu beheben. Die einzige Lösung für das Problem ist auf die Verwendung von Microsoft Office 365 Message Encryption zu verzichten und eine andere Lösung einzusetzen.

WithSecure, ehemals F-Secure Business, führt auf seiner Webseite eine ausführlichere, technische Schilderung des Problems aus.

Mehr bei WithSecure.com

 


Über WithSecure

WithSecure, ehemals F-Secure Business, ist der zuverlässige Partner für Cybersicherheit. IT-Dienstleister, Managed Security Services Provider und andere Unternehmen vertrauen WithSecure – wie auch große Finanzinstitute, Industrieunternehmen und führende Kommunikations- und Technologieanbieter. Mit seinem ergebnisorientierten Ansatz der Cybersicherheit hilft der finnische Sicherheitsanbieter Unternehmen dabei, die Sicherheit in Relation zu den Betriebsabläufen zu setzen und Prozesse zu sichern sowie Betriebsunterbrechungen vorzubeugen.


 

Passende Artikel zum Thema

Neue Gefahren durch Ransomware-Gruppe RansomHub

Ein Anbieter einer KI-gestützten, Cloud-basierten Cyber-Sicherheitsplattform hat einen Bericht zu Ransomware-Aktivitäten und -Trends aus dem vergangenen Monat September 2024 veröffentlicht. ➡ Weiterlesen

Cybersecurity-Trends 2025

Die Cybersecurity befindet sich derzeit in einem dramatischen Wandel. Während Cyberkriminelle zunehmend KI-gestützte Angriffsmethoden entwickeln und ihre Taktiken verfeinern, stehen ➡ Weiterlesen

Disaster-Recovery-as-a-Service – DRaaS-Lösung

Investitionen in DRaaS (Disaster-Recovery-as-a-Service) sind sinnvoll und zukunftsweisend, denn DRaaS hilft den Unternehmen, ihre IT-Systeme und Daten im Fall eines ➡ Weiterlesen

Digitale Zertifikate mit verkürzter Lebensdauer

Apple hat sich nun Google angeschlossen und drängt auf eine kürzere Lebensdauer von Zertifikaten, um die Online-Sicherheit zu verbessern. Indem ➡ Weiterlesen

Kritische Sicherheitsmängel bei ICS-/OT-Fachkräften

Eine aktuelle OT/IT-Sicherheitsstudie fand heraus, dass über die Hälfte der ICS-/OT-Fachkräfte über zu wenig Erfahrung verfügt. Obwohl zwei Drittel der ➡ Weiterlesen

Cloud-Datenschutzstrategien für Gesundheitsdienstleister

Die Digitalisierung im Gesundheitswesen nimmt stetig zu. Im gleichen Ausmaß nimmt die Gefahr von Cyberattacken zu. Der Schutz sensibler Daten ➡ Weiterlesen

API-Angriffe: Diese Bereiche sind gefährdet

In vielen Unternehmen fehlt ein Monitoring über schadhafte Strukturen oder Dritt-Anbieter-APIs. Das macht APIs besonders vulnerabel und zum Ziel für ➡ Weiterlesen

CPS: Angriffe auf vernetzte Geräte sind teuer und zeitintensiv 

Jeder dritte Angriff auf cyber-physische Systeme in Deutschland verursacht Kosten von mehr als 1 Million US-Dollar, das zeigt der Report ➡ Weiterlesen