Sårbarhed i Microsoft Office 365 Message Encryption kan afsløre e-mailindhold for hackere

Hackere kan få adgang til fortrolige informationer i e-mails. Det viser en ny sikkerhedsbriefing fra sikkerhedsvirksomheden, WithSecure. Sårbarheden er ikke patchet, selvom den udgør en risiko for, at virksomheder får kompromitteret deres e-mails

WithSecure advarer i en ny sikkerhedsbriefing om en sårbarhed i Microsoft Office 365 Message Encryption (OME). OME bruges til at sende krypterede e-mails og anvender implementeringen af Electronic Codebook (ECB), der er kendt for at lække specifikke strukturelle oplysninger om e-mails.

Får cyberkriminelle fat i tilstrækkeligt mange OME-e-mails, kan de bruge lækkede oplysninger til helt eller delvist at udlede indholdet af e-mails. Det gør de ved at analysere placeringen og hyppigheden af mønstre i de enkelte e-mails og derefter matche mønstrene med dem, der findes i andre OME-e-mails og -filer.

Hackere kan bruge de lækkede ECB-informationer til at blotlægge krypteret indhold. Jo flere e-mails en hacker får adgang til, jo nemmere og mere præcis bliver processen. Cyberkriminelle kan udføre denne type angreb efter at have fået fingrene i e-mailarkiver, evt. stjålet under et databrud, eller ved at påtvinge sig adgang til personlige e-mailkonti, e-mailservere eller sikkerhedskopier.

Harry Sintonen, konsulent og sikkerhedsforsker hos WithSecure

Ifølge sikkerhedsbriefingen kan analysen foretages offline. Det giver hackere mulighed for at kompromittere backlogs eller arkiver af tidligere e-mails. Desværre har virksomheder ingen mulighed for at forhindre en hacker i at kompromittere e-mailindholdet ved hjælp af den metode, der er beskrevet i Harry Sintonens briefing.

Det bliver i sikkerhedsbriefingen også understreget, at der ikke er behov for kendskab til krypteringsnøglerne for at foretage analysen, og at brugen af en BYOK-løsning (Bring Your Own Key) ikke afhjælper sårbarheden.

Sårbarhed stadig ikke lukket

Harry Sintonen delte sin forskning med Microsoft i januar 2022, og Microsoft betalte Harry Sintonen via virksomhedens dusørprogrammer. Microsoft valgte dog ikke at patche sårbarheden. Og selvom virksomheder kan afhjælpe problemet ved ikke at bruge funktionen, fjerner det ikke risikoen for, at cyberkriminelle får adgang til eksisterende e-mails krypteret med OME.

Enhver virksomhed med medarbejdere, som har brugt OME til at kryptere e-mails, kan i princippet blive påvirket af sårbarheden – for eksempel kan sårbarheden skabe udfordringer for virksomheder med fortrolighedskrav indskrevet i kontrakter. Spørgsmålet er selvfølgelig, hvilke konsekvenser det kan have, hvis den slags bliver stjålet, og det gør sårbarheden til en væsentlig bekymring for virksomhederne.

Harry Sintonen, konsulent og sikkerhedsforsker hos WithSecure

Da der hverken findes en løsning fra Microsoft, eller en mere sikker driftsform til rådighed for e-mail-administratorer eller brugere, anbefaler WithSecure at undgå brugen af OME som et middel til at sikre fortroligheden af e-mails.

Læs mere om sårbarheden her

Tjek priser på bredbånd

Tech-Test har indgået et samarbejde med Samlino så du kan tjekke bredbåndspriser og ikke mindst muligheder for bredbånd på din adresse.

Det er helt gratis og Samlino skal ikke bruge andet end din adresse for at levere priser til dig.

Når du har indtastet adressen i feltet herunder, bliver du sendt til Samlino, hvor du får vist resultatet, og hvor du kan indsætte flere filtre, hvis du har bestemte behov for dit bredbånd.