Güvenlik şirketi WithSecure'un laboratuvarlarına kötü bir haber var: Microsoft Office 365'te e-postalar için kullanılan şifreleme, bir güvenlik açığı olduğu için güvenli değil. WithSecure'a göre, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Güvenlik Açığı Veritabanında güvenlik açığını ciddi olarak listelese de Microsoft güvenlik açığını düzeltmeyi planlamamaktadır.
Microsoft Office 365 İleti Şifrelemesi (OME), Elektronik Kod Kitabı (ECB) çalışma modunu kullanır. Bu mod genellikle güvensizdir ve gönderilmekte olan mesajların yapısı hakkında bilgi verebilir, bu da mesajın kısmen veya tamamen ifşa edilmesiyle sonuçlanabilir. gibi "Özel Yayın 800-38A Revizyon Teklifi İlanı" NIST şunları belirtmektedir: “NIST Ulusal Güvenlik Açığı Veritabanında (NVD), hassas bilgileri şifrelemek için ECB'nin kullanılması ciddi bir güvenlik açığını temsil eder; örneğin bkz. CVE-2020-11500 ".
Güvenli olmayan şifreleme yöntemi
Microsoft Office 365, şifreli mesajlar göndermek için bir yöntem sağlar. Bu özellik, kuruluşların, kuruluşunuzun içindeki ve dışındaki kişiler arasında şifreli e-posta mesajlarını güvenli bir şekilde gönderip almasını sağlamak için duyurulur. Ne yazık ki, OME mesajları güvenli olmayan Elektronik Kod Defteri (ECB) çalışma modunda şifrelenir.
Şifrelenmiş e-posta mesajlarına erişim sağlayan kötü niyetli üçüncü taraflar, ECB mesajların belirli yapısal bilgilerini ifşa ettiğinden, mesajların içeriğini tanımlayabilir. Bu, potansiyel bir gizlilik kaybına yol açar.
Şifreleme: E-posta ekleri analiz edilebilir
🔎 Etkileyici bir şekilde kandırıldı: Office 365 İleti Şifreleme korumalı bir e-postadan çıkarılan bir görüntü (Resim: WithSecure).
Şifrelenmiş mesajlar normal e-posta ekleri olarak gönderildiğinden, gönderilen mesajlar farklı e-posta sistemlerinde saklanmış ve gönderen ile alıcı arasındaki herhangi bir tarafça ele geçirilmiş olabilir. Büyük bir mesaj veritabanına sahip bir saldırgan, ele geçirilen mesajların yinelenen bölümlerinin göreli konumlarını analiz ederek içeriğinin (veya bir kısmının) çıkarımını yapabilir.
Çoğu OME şifreli mesaj etkilenir ve saldırı, daha önce gönderilen, alınan veya ele geçirilen herhangi bir şifreli mesaj üzerinde çevrimdışı olarak gerçekleştirilebilir. Kuruluşun halihazırda gönderilmiş olan mesajların analizini engellemesinin bir yolu yoktur. Hak yönetimi işlevlerini kullanmak bile sorunu çözmez.
Şifreli mesajlar üzerinden gönderilen içeriğe bağlı olarak, bazı kuruluşların güvenlik açığının yasal sonuçlarını dikkate alması gerekebilir. Güvenlik açığının, AB Genel Veri Koruma Yönetmeliği (GDPR), Kaliforniya Tüketici Gizliliği Yasası (CCPA) veya benzer mevzuatta açıklandığı gibi gizlilik etkileriyle sonuçlanmış olması mümkündür.
Hata: Tekrarlanan şifre blokları
Elektronik Kod Kitabı (ECB) çalışma modu, her şifreleme bloğunun ayrı ayrı şifrelendiği anlamına gelir. Düz metin mesajının yinelenen blokları her zaman aynı şifreli metin bloklarına eşlenir. Uygulamada bu, gerçek düz metnin doğrudan açıklanmadığı, ancak mesajın yapısı hakkındaki bilgilerin açıklandığı anlamına gelir.
Belirli bir mesaj bu şekilde bilgileri doğrudan ifşa etmese bile, çok sayıda mesajla bir saldırgan, belirli dosyaları tanımlamak için dosyalardaki tekrarlanan kalıpların ilişkisini analiz edebilir. Bu, düz metnin (parçalarının) şifreli mesajlardan türetilmesine yol açabilir. Bu güvenlik açığından yararlanmak için şifreleme anahtarı bilgisi gerekli değildir ve bu nedenle Kendi Anahtarınızı Getirin (BYOK) veya benzer şifreleme anahtarı korumalarının herhangi bir düzeltici eylemi yoktur.
Microsoft'tan görünürde çare yok
Güvenlik açığının durumu hakkında tekrarlanan sorgulamaların ardından Microsoft, sonunda şu yanıtı verdi: "Raporun güvenlik hizmeti gereksinimlerini karşılamadığı ve bir ihlal olarak değerlendirilmediği. Hiçbir kod değişikliği yapılmadı ve bu nedenle bu rapor için herhangi bir CVE düzenlenmedi.”
Son kullanıcı veya e-posta sistemi yöneticisinin daha güvenli bir çalışma modunu zorlama yolu yoktur. Çünkü Microsoft bu güvenlik açığını düzeltmeyi planlamamaktadır. Sorunun tek çözümü Microsoft Office 365 İleti Şifrelemeyi kullanmayı bırakıp başka bir çözüm kullanmaktır.
Eskiden F-Secure Business olan WithSecure, web sitesinde sorunun daha ayrıntılı, teknik bir açıklamasına sahiptir.
Daha fazlası WithSecure.com'da
WithSecure Hakkında Eskiden F-Secure Business olan WithSecure, siber güvenlik alanında güvenilir bir iş ortağıdır. Büyük finansal kuruluşlar, endüstriyel şirketler ve önde gelen iletişim ve teknoloji sağlayıcıları gibi BT hizmet sağlayıcıları, yönetilen güvenlik hizmetleri sağlayıcıları ve diğer şirketler de WithSecure'a güveniyor. Finli güvenlik sağlayıcısı, siber güvenliğe yönelik sonuç odaklı yaklaşımıyla, şirketlerin güvenliği operasyonlarla ve güvenli süreçlerle ilişkilendirmesine ve iş kesintilerini önlemesine yardımcı oluyor.