Microsoft Office 365: Unsichere Verschlüsselung bei Mails

Microsoft Office 365: Unsichere Verschlüsselung bei Mails

Beitrag teilen

Die Labs des Security Unternehmens WithSecure haben keine gute Nachricht: Die bei Microsoft Office 365 verwendete Verschlüsselung für E-Mails ist nicht sicher, da sie eine Sicherheitslücke hat. Laut WithSecure plant Microsoft keine Behebung der Schwachstelle, obwohl das National Institute of Standards and Technology NIST die Schwachstelle in ihrer Vulnerability Database als schwerwiegend aufführt.

Microsoft Office 365 Message Encryption (OME) nutzt den Betriebsmodus Electronic Codebook (ECB). Dieser Modus ist im Allgemeinen unsicher und kann Informationen über die Struktur der gesendeten Nachrichten preisgeben, was zu einer teilweisen oder vollständigen Offenlegung der Nachricht führen kann. Wie in der „ Announcement of Proposal to Revise Special Publication 800-38A “ des NIST angegeben: „In der NIST National Vulnerability Database (NVD) stellt die Verwendung von ECB zur Verschlüsselung vertraulicher Informationen eine schwerwiegende Sicherheitslücke dar; siehe beispielsweise CVE-2020 -11500 .”

Unsichere Verschlüsselungs-Methode

Microsoft Office 365 bietet eine Methode zum Senden verschlüsselter Nachrichten. Diese Funktion wird beworben, damit Organisationen verschlüsselte E-Mail-Nachrichten zwischen Personen innerhalb und außerhalb Ihrer Organisation auf sichere Weise senden und empfangen können. Leider werden die OME-Nachrichten im unsicheren Betriebsmodus des elektronischen Codebuchs (ECB) verschlüsselt.

Böswillige Dritte, die Zugriff auf die verschlüsselten E-Mail-Nachrichten erhalten, können möglicherweise den Inhalt der Nachrichten identifizieren, da die ECB bestimmte strukturelle Informationen der Nachrichten preisgibt. Dies führt zu einem potenziellen Verlust der Vertraulichkeit.

Verschlüsselung: E-Mail-Anhänge lassen sich analysieren

🔎 Eindrucksvoll ausgetrickst: Ein extrahiertes Bild aus einer Office 365 Message Encryption geschützten E-Mail (Bild: WithSecure).

Da die verschlüsselten Nachrichten als reguläre E-Mail-Anhänge gesendet werden, können die gesendeten Nachrichten in verschiedenen E-Mail-Systemen gespeichert und von irgendeiner Partei zwischen dem Absender und dem Empfänger abgefangen worden sein. Ein Angreifer mit einer großen Nachrichtendatenbank kann auf deren Inhalt (oder Teile davon) schließen, indem er die relativen Positionen wiederholter Abschnitte der abgefangenen Nachrichten analysiert.

Die meisten OME-verschlüsselten Nachrichten sind betroffen, und der Angriff kann offline auf alle zuvor gesendeten, empfangenen oder abgefangenen verschlüsselten Nachrichten durchgeführt werden. Es gibt keine Möglichkeit für die Organisation, die Analyse bereits gesendeter Nachrichten zu verhindern. Auch die Verwendung von Rechteverwaltungsfunktionen behebt das Problem nicht.

Abhängig von den Inhalten, die über verschlüsselte Nachrichten gesendet werden, müssen einige Organisationen möglicherweise die rechtlichen Auswirkungen der Sicherheitsanfälligkeit berücksichtigen. Es ist möglich, dass die Sicherheitsanfälligkeit zu Auswirkungen auf die Privatsphäre geführt hat, wie in der EU-Datenschutz-Grundverordnung (DSGVO), dem Verbraucherdatenschutzgesetz des US-Bundesstaates Kalifornien (CCPA) oder ähnlichen Gesetzen beschrieben.

Fehler: Wiederholte Verschlüsselungsblöcke

Der Betriebsmodus des elektronischen Codebuchs (ECB) bedeutet, dass jeder Verschlüsselungsblock einzeln verschlüsselt wird. Sich wiederholende Blöcke der Klartextnachricht werden immer denselben Chiffretextblöcken zugeordnet. In der Praxis bedeutet dies, dass zwar nicht direkt der eigentliche Klartext preisgegeben wird, wohl aber Informationen über den Aufbau der Nachricht.

Selbst wenn eine bestimmte Nachricht auf diese Weise nicht direkt Informationen preisgeben würde, ist ein Angreifer mit einer großen Anzahl von Nachrichten in der Lage, eine Analyse der Beziehung der wiederholten Muster in den Dateien durchzuführen, um bestimmte Dateien zu identifizieren. Dies kann zu der Fähigkeit führen, (Teile von) Klartext von verschlüsselten Nachrichten abzuleiten. Es ist keine Kenntnis des Verschlüsselungsschlüssels erforderlich, um diese Schwachstelle auszunutzen und daher haben Bring Your Own Key (BYOK) oder ähnliche Schutzmaßnahmen für Verschlüsselungsschlüssel keine Abhilfewirkung.

Von Microsoft keine Abhilfe in Sicht

Nach wiederholten Nachfragen zum Status der Schwachstelle antwortete Microsoft schließlich mit folgendem: „Der Bericht wurde nicht als Erfüllung der Anforderungen an die Sicherheitsdienstleistung angesehen und wird auch nicht als Verstoß angesehen. Es wurde keine Codeänderung vorgenommen und daher wurde für diesen Bericht kein CVE herausgegeben.“

Der Endbenutzer oder Administrator des E-Mail-Systems hat keine Möglichkeit, einen sichereren Betriebsmodus zu erzwingen. Da Microsoft nicht plant, diese Schwachstelle zu beheben. Die einzige Lösung für das Problem ist auf die Verwendung von Microsoft Office 365 Message Encryption zu verzichten und eine andere Lösung einzusetzen.

WithSecure, ehemals F-Secure Business, führt auf seiner Webseite eine ausführlichere, technische Schilderung des Problems aus.

Mehr bei WithSecure.com

 


Über WithSecure

WithSecure, ehemals F-Secure Business, ist der zuverlässige Partner für Cybersicherheit. IT-Dienstleister, Managed Security Services Provider und andere Unternehmen vertrauen WithSecure – wie auch große Finanzinstitute, Industrieunternehmen und führende Kommunikations- und Technologieanbieter. Mit seinem ergebnisorientierten Ansatz der Cybersicherheit hilft der finnische Sicherheitsanbieter Unternehmen dabei, die Sicherheit in Relation zu den Betriebsabläufen zu setzen und Prozesse zu sichern sowie Betriebsunterbrechungen vorzubeugen.


 

Passende Artikel zum Thema

Datenschutz: Trends in 2024

Welche Herausforderungen könnten in diesem Jahr im Bereich des Datenschutzes auf Unternehmen zukommen? Und wie können sie sich auf die ➡ Weiterlesen

Diese Bedrohungen haben 2023 geprägt

2023 kehrten Botnets von den Toten zurück, Ransomware-Akteure fanden kreative Wege, um mit Diebstahl Geld zu verdienen und Bedrohungsakteure, die ➡ Weiterlesen

FBI, Europol, NCA: APT-Gruppe LockBit zerschlagen!

Nach den Angaben der Behörden haben Europol, das FBI und die britische NCA die APT-Gruppe LockBit zerschlagen. Zumindest hat sie ➡ Weiterlesen

Phishing, Vishing und Quishing

In den Anfangszeiten waren Phishing-Angriffe oft sehr einfach gestrickt und verwendeten seriöse Quellen der schriftlichen Kommunikation wie E-Mail, um Zugang ➡ Weiterlesen

Gelöschte SaaS-Daten wiederherstellen

Laut Statista kontrolliert Microsoft Office 365 fast 50 Prozent des weltweiten Marktes für Office-Produktivitätssoftware. Sicherlich hat der eine oder andere ➡ Weiterlesen

Pawn Storm unter der Lupe

Pawn Storm (auch APT28 oder Forest Blizzard) ist eine Gruppe von APT-Akteuren, die sich durch beharrliche Wiederholungen in ihren Taktiken, ➡ Weiterlesen

Pig Butchering: Lukratives Geschäftsmodell für Cyberbanden

Sophos hat aufgedeckt, wie Sha-Zhu-Pan-Betrüger für ihre vermeintlich auf Romantik zielenden so genannten Pig-Butchering-Betrügereien inzwischen ein Geschäftsmodell nutzen, das dem ➡ Weiterlesen

Bußgelder wegen Vorstoß gegen die DSGVO

Die Datenschutz-Grundverordnung (DSGVO) ist im November 2018 in Kraft getreten, um EU-weit die Regeln zur Verarbeitung personenbezogener Daten zu vereinheitlichen. ➡ Weiterlesen