İmzayla korunan önemli Word belgeleri, bir güvenlik açığı nedeniyle yine de değiştirilebilir. Microsoft, değişikliğe izin veren 5 güvenlik açığından yalnızca 4'ünü yamaladı. Bohum'daki Ruhr Üniversitesi ve Mainz Uygulamalı Bilimler Üniversitesi'ndeki araştırmacılara göre sorun hala devam ediyor.
Önemli bir Word belgesini dijital olarak güvenli bir şekilde göndermek istiyorsanız, onu bir imzayla koruyabilirsiniz – aslında. Çünkü, Ruhr Üniversitesi Bochum ve Mainz Üniversitesi'ndeki Horst Görtz BT Güvenliği Enstitüsü Ağ ve Veri Güvenliği Kürsüsü'nden araştırmacıların keşfettiği gibi, belgenin fark edilmeden manipüle edilmesi saldırganlar için çocuk oyuncağıdır. Simon Rohlmann, Vladislav Mladenov, Christian Mainka, Daniel Hirschberger ve Jörg Schwenk, ünlü BT güvenlik konferansı "Usenix Security Symposium"da "Every Signature is Broken: On the Insecurity of Microsoft Office's OOXML Signatures" başlıklı araştırma çalışmalarını sunacaklar. 9-11 Ağustos 2023 tarihleri arasında Kaliforniya, ABD'de gerçekleşecek.
Güvenilir belge bütünlüğü yok
Şu anda Mainz Uygulamalı Bilimler Üniversitesi'nde çalışan Simon Rohlmann, "Dijital imzanın amacı, bir belgenin bütünlüğünü doğrulamaktır" diye açıklıyor. Bu amaçla, bir yandan özel anahtarlı ortak anahtar algoritmaları temelinde bir imza oluşturulurken, diğer yandan ortak anahtar kullanılarak kontrol edilebilir. Belgeyi göndermek isteyen kişi, belgeyi sonraki dış etkilerden koruyabilir ve yine de başkaları için erişilebilir hale getirebilir. Güvenli kriptografik işlem sayesinde, onu alan kişi, belgenin içeriğinin geçerli olduğundan da emin olabilir.
Ancak bilim adamları, Microsoft'un Office Açık XML'sindeki (OOXML) belgelerin kolayca manipüle edilmesine izin veren bir güvenlik açığı keşfettiler: "Belgelerin yalnızca kısmen imzalandığını fark ettik. Örneğin, kimse fark etmeden yeni içerik ekleyebilir veya imzalı içeriği gizleyebilirsiniz," diye açıklıyor Simon Rohlmann.
Saldırmanın beş yolu - Microsoft bilgilendirir
Bilim adamları, Office sistemindeki yapısal tutarsızlıklar nedeniyle mümkün olan toplam beş saldırı seçeneği buldular: Bilim adamına göre OOXML standardının geliştiricileri, görünüşe göre belge paketinin yalnızca bölümlerini imzalamaya karar verdiler. "Bu, bu belgelerdeki dijital imzayı neredeyse değersiz hale getiriyor. Örneğin, bir saldırgan, belge bir yöneticiden geçerli bir imza içerdiğinden, sosyal mühendisliğe dayalı saldırıların özellikle güvenilir görünmesini sağlamak için imzalı belgeleri kullanabilir," diye özetliyor Simon Rohlmann.
Bundan etkilenen XML tabanlı dosya biçimleri, Microsoft tarafından 2007'den beri kullanılmaktadır. Kullanıcılar bunları genellikle dosya adındaki -X soneki ile tanır; dosya.docx veya dosya.xlsx. Ana avantajları, sıkıştırma teknolojisi sayesinde çok az depolama alanı gerektirmesi ve öncekilerin aksine aslında daha fazla güvenlik sunmasıdır.
Yalnızca dört güvenlik açığı düzeltildi
Bilim adamları 2022'de güvenlik açıklarını ilk keşfettiklerinde hemen Microsoft'a ve sorumlu standardizasyon yetkilisine haber verdiler. Ancak şirket, araştırmacıların tekrar tekrar temasa geçmesine rağmen sorunu hemen ortadan kaldırmadı.
Geçen aydan bu yana, Microsoft Office 2021'in perakende sürümünde (Sürüm 2305 (Derleme 16501.20210)) beş saldırı seçeneğinden yalnızca biri olan Evrensel İmza Sahtekarlığı (USF) saldırısı mümkün oldu; diğerleri düzeltildi. Rohlmann (2021 Haziran 2108 Cuma itibarıyla) "Microsoft Office 14332.20517'in en son LTSC sürümünde (Sürüm 16.6.2023 (Derleme XNUMX)) saldırılar henüz düzeltilmedi" diyor.
Bu güvenlik açığını araştırma fikri, Ağ ve Veri Güvenliği Başkanı ekibinin 2019'da yayınladığı başka bir bilimsel çalışmanın başarısına dayanmaktadır: Burada, Bochum bilim adamları ilk kez PDF belgelerinde dijital imzaları atlamanın mümkün olduğunu kanıtlayabildiler. birçok uygulama için mümkün olmadığı fark edildi. O zamandan beri, araştırmacılar kendilerini düzenli olarak profesyonel yaşamda veya resmi bir bağlamda giderek yaygınlaşan imzaları incelemeye adadılar. Ancak Simon Rohlmann, bu alanda Microsoft Office imzaları yelpazesinin ne kadar kapsamlı kullanıldığını tam olarak tahmin edemiyor.
Araştırmacılar ayrıca güvenlik açığıyla ilgili bir beyaz kitap yayınladılar.
Doğrudan Usenix.org'daki teknik incelemeye